Onderzoek: Vodafone injecteert trackingheaders in webverkeer
Vodafone injecteert trackingheaders in het webverkeer van klanten waarmee hun surfgedrag kan worden gevolgd, zo stellen onderzoekers van Access, een internationale organisatie die zich met digitale burgerrechten bezighoudt. Vodafone ontkent dit echter. Trackingheaders, ook wel supercookies of zombiecookies genoemd, worden door telecomaanbieders in het onversleutelde HTTP-verkeer van hun klanten geïnjecteerd.
Gebruikers kunnen de trackingheaders niet blokkeren, omdat ze door de telecomaanbieder op het netwerkniveau worden geïnjecteerd. Ook zogeheten 'Do not track' tools kunnen de trackingheaders niet blokkeren. Zelfs als de provider de headers niet gebruikt om advertenties te verkopen, kunnen andere bedrijven de headers voor advertentiedoeleinden gebruiken, aldus Access. Bepaalde headers kunnen daarnaast belangrijke privégegevens over de gebruiker lekken, waaronder telefoonnummers die in platte tekst zichtbaar zijn.
Nederland
Wereldwijd houden verschillende telecomaanbieders zich hiermee bezig, waaronder Vodafone in Nederland, zo blijkt uit het rapport van de organisatie. Voor het in kaart brengen van de trackingheaders hadden de onderzoekers een website gelanceerd, genaamd Amibeingtracked.com, waar mensen konden kijken of hun verkeer werd gemanipuleerd. "Van de mensen die aan onze test deelnamen, vond de meeste tracking plaats in de VS, Spanje en Nederland. Het is interessant om Nederland met Canada te vergelijken, omdat meer mensen in Canada hun telefoons op Amibeingtracked.com hebben getest, maar mensen in Nederland meer trackingheaders hadden", aldus de onderzoekers.
Ze stellen dat hun onderzoek (pdf) (samenvatting - pdf) meer vragen dan antwoorden over het gebruik van trackingheaders oplevert. Er wordt dan ook gepleit voor verder onderzoek, zodat er beleid en maatregelen kunnen worden ontwikkeld om de privacyproblemen aan te pakken die met deze vorm van tracking samenhangen. Daarnaast roepen de onderzoekers telecomproviders op om het gebruik van trackingheaders kenbaar te maken. Ook moeten ze een manier bieden zodat gebruikers zich hiervoor kunnen afmelden.
Reactie Vodafone
Vodafone stelt dat het geen 'supercookies' gebruikt om app- en surfgedrag te volgen. "Om internetaankopen via de telefoonrekening te kunnen factureren, maakt Vodafone gebruik van een dynamische Anonymous Customer Reference. Dit is een anonieme code die alleen wordt aangemaakt als een klant een website bezoekt waar Vodafone een factureringsrelatie mee heeft. Als de klant daar vervolgens iets koopt, kan dit via de telefoonrekening betaald worden. Op basis van deze code, die in het netwerk wordt aangemaakt, brengen wij dit bedrag bij de juiste klant in rekening. Voor de verkopende site is niet duidelijk welke persoon de aankoop verricht heeft", aldus een reactie van de provider.
Vodafone 4G => Not tracked
Vodafone, via mijn VPN (eigen server) => You are not on a 3G/4G/LTE network.
Alweer een reden om altijd een (eigen) VPN te gebruiken .... :)
Veel routers ondersteunen dat tegenwoordig standaard en is het geen rocket science om een VPN op te zetten.
De speciale http header bestaat altijd en niet alleen bij factureringsrelaties.
De http header is uit te schakelen door contact op te nemen met de provider.
Hierna moet elke factureringsrelatie (aka dure sms diensten) je om je telefoonnummer vragen ipv automatisch.
De speciale http header bestaat altijd en niet alleen bij factureringsrelaties.
De http header is uit te schakelen door contact op te nemen met de provider.
Hierna moet elke factureringsrelatie (aka dure sms diensten) je om je telefoonnummer vragen ipv automatisch.
Nou waar is je artikel dan?
Misschien is Vodafone er snel mee gestopt. :-)
Misschien is Vodafone er snel mee gestopt. :-)
http://www.letmetrackyou.org/paper.pdf
http://www.mulliner.org/collin/academic/publications/mobile_web_privacy_icin10_mulliner.pdf
Bij T-mobile [nederland] doen ze t iets genuanceerder [worden alleen headers meegestuurd naar websites met een contractuele relatie] EN kun je t simpel uitzetten. Voda NL [kan|kon] je dat niet doen.
Geen idee [meer] wat KPN en alle MNx'en doen...
Bij T-mobile [nederland] doen ze t iets genuanceerder [worden alleen headers meegestuurd naar websites met een contractuele relatie] EN kun je t simpel uitzetten.
Ik kan me ook herinneren dat T-Mobile dit doet. Alleen een Google naar hoe deze dienst ook weer heet levert niets op. Zijn ze er wellicht mee gestopt? #privacy
Anonymous Subscriber ID (ASID)
https://www.t-mobile.nl/corporate/media/pdf/asid-omi-cookbook.pdf
De speciale http header bestaat altijd en niet alleen bij factureringsrelaties.
De http header is uit te schakelen door contact op te nemen met de provider.
Hierna moet elke factureringsrelatie (aka dure sms diensten) je om je telefoonnummer vragen ipv automatisch.
Nou waar is je artikel dan?
Nogsteeds benieuwd naar je artikel...
Inmiddels ben ik ook Broadcast UID-vrij, dus ik denk dat de grond te heet onder de voeten werd...
Goh, dit staat zo vol van de halve waarheden dat het pijn doet aan mijn ogen.
Als "Redactie" hier genoegen meeneemt dan komt Voda hier wel erg makkelijk mee weg...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
