Gebruikers van het Chinese onderwijs- en onderzoeksnetwerk CERNET die google.com of google.com.hk willen bezoeken zijn al ruim een week het doelwit van een Man-in-the-Middle-aanval. Sinds 4 juni zijn veruit de meeste Google-diensten voor Chinese internetgebruikers geblokkeerd.

Studenten en onderzoekers konden via CERNET echter ongestoord diensten als YouTube en Google Plus bezoeken, terwijl dit in de rest van China niet mogelijk is. Met de start van het nieuwe schooljaar is dit echter veranderd en wordt geprobeerd om het Google-verkeer van gebruikers te onderscheppen. Sinds maart van dit jaar gebruikt Google standaard HTTPS voor de zoekmachine, waardoor de censors niet meer de inhoud kunnen zien, alleen dat een gebruiker Google bezoekt.

Waarschuwing

Het gebruik van HTTPS zorgt er dan ook voor dat Google Chrome en Firefox een waarschuwing geven als Chinese CERNET-gebruikers nu naar Google gaan, aangezien er een ongeldig SSL-certificaat wordt gebruikt, zo blijkt uit screenshots die online zijn verschenen. Onderzoekers van NetreseC onderzochten de aanval, maar stellen dat het lastig is om te zien hoe die precies wordt uitgevoerd.

Waarschijnlijk is er sprake van "IP-kaping" of is de router aangepast zodat HTTPS-verkeer naar een transparante SSL-proxy gaat. "Ongeacht hoe ze het deden, de aanvaller zou in staat zijn om het verkeer naar Google te ontsleutelen en te inspecteren", aldus de onderzoekers. Die stellen dat de aanval min of meer lijkt op de Man-in-the-Middle-aanval die vorig jaar in China op het online ontwikkelaarsplatform GitHub werd uitgevoerd.

Volgens GreatFire.org, een organisatie die tegen Chinese internetcensuur strijdt, kunnen de Chinese autoriteiten via de MitM-aanval ervoor zorgen dat studenten en onderzoekers nog steeds toegang tot Google hebben, terwijl ze tegelijkertijd bepaalde zoekopdrachten en zoekresultaten kunnen afluisteren of blokkeren.