Hotspots AT&T injecteren advertenties in wifi-verkeer
Hotspots van de Amerikaanse telecomaanbieder AT&T injecteren advertenties in het wifi-verkeer van gebruikers, zo heeft onderzoeker Jonathan Mayer ontdekt. Mayer was recentelijk op het vliegveld van Dulles en maakte verbinding met een gratis hotspot van AT&T.
De websites die hij bezocht hadden opeens allerlei advertenties op plekken waar ze niet thuishoren. Het duurde niet lang voordat Mayer ontdekte dat de wifi-hotspot van AT&T het HTTP-verkeer manipuleerde. De telecomaanbieder maakt gebruik van een advertentie-injectieplatform dat door een startup genaamd RaGaPa is ontwikkeld. Als een HTML-pagina over HTTP wordt geladen worden er drie aanpassingen gemaakt.
Zo wordt de advertentie toegevoegd, alsmede een tweede advertentie als back-up voor het geval de browser geen JavaScript ondersteunt. Als laatste worden er scripts toegevoegd voor het laden en weergeven van de advertenties. Door het injecteren van advertenties wordt het surfgedrag van gebruikers aan onbekende en onbetrouwbare bedrijven blootgesteld, zo schrijft de onderzoeker.
Daarnaast wordt ook de naam en content van bedrijven aangetast, omdat de advertenties op allerlei websites verschijnen die normaal geen advertenties laten zien. Het is ook niet duidelijk dat de advertenties van de hotspot afkomstig zijn. Verder introduceert het beveiligingsrisico’s, aldus Mayer. Hij roept AT&T dan ook op om hiermee te stoppen. Verder laat het volgens de onderzoeker zien dat het belangrijk is dat websites alleen via HTTPS bereikbaar zijn, aangezien er dan geen advertenties in het verkeer worden geïnjecteerd.
Dat is met zowat alle sites het geval. Doordat advertenties worden uitbesteed aan een advertentiehoster, meestal een
stel nikskunners, weet je nooit wat er gebeurt als je een advertentie inlaadt.
Daarom moet je advertenties ook altijd BLOKKEREN.
Het niet-versleuteld zijn van internetverkeer geeft je geen vrijbrief daarvoor.
Mooi, aanklagen die zooi. Zeker voor de mensen met sites zonder advertenties die aan kunnen tonen dat dit bij hen geflikt wordt.
Dus wellicht dat ze 't daar op gooien als er klachten komen ;-)
Overigens, bij een gratis dienst ben je niet de klant, maar het product, toch (if you are not paying for it, you are the product) ?
http://webpolicy.org/2015/08/25/att-hotspots-now-with-advertising-injection/#att_wifi_fn_7
Helaas heeft de leek er niets aan, maar voor mij is dit een reden om alleen via een VPN van willekeurig welk onbekende hotspot gebruik te maken.
En als ik eerst langs een landingspagina moet hebben ze pech.
Normaal wel, maar als een vliegveld deze dienst aanbiedt, verwacht je dat je deze dienst met je vliegticket betaald en niet met reclame.
Is niet zo moeilijk te maken met 'gratis' wifi... Zelf een routertje erbij (desnoods een beaglebone of raspberry pi, en voila, gratis inkomsten van gratis wifi van anderen...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
