Onderzoek: Vodafone injecteert trackingheaders in webverkeer
Vodafone injecteert trackingheaders in het webverkeer van klanten waarmee hun surfgedrag kan worden gevolgd, zo stellen onderzoekers van Access, een internationale organisatie die zich met digitale burgerrechten bezighoudt. Vodafone ontkent dit echter. Trackingheaders, ook wel supercookies of zombiecookies genoemd, worden door telecomaanbieders in het onversleutelde HTTP-verkeer van hun klanten geïnjecteerd.
Gebruikers kunnen de trackingheaders niet blokkeren, omdat ze door de telecomaanbieder op het netwerkniveau worden geïnjecteerd. Ook zogeheten 'Do not track' tools kunnen de trackingheaders niet blokkeren. Zelfs als de provider de headers niet gebruikt om advertenties te verkopen, kunnen andere bedrijven de headers voor advertentiedoeleinden gebruiken, aldus Access. Bepaalde headers kunnen daarnaast belangrijke privégegevens over de gebruiker lekken, waaronder telefoonnummers die in platte tekst zichtbaar zijn.
Nederland
Wereldwijd houden verschillende telecomaanbieders zich hiermee bezig, waaronder Vodafone in Nederland, zo blijkt uit het rapport van de organisatie. Voor het in kaart brengen van de trackingheaders hadden de onderzoekers een website gelanceerd, genaamd Amibeingtracked.com, waar mensen konden kijken of hun verkeer werd gemanipuleerd. "Van de mensen die aan onze test deelnamen, vond de meeste tracking plaats in de VS, Spanje en Nederland. Het is interessant om Nederland met Canada te vergelijken, omdat meer mensen in Canada hun telefoons op Amibeingtracked.com hebben getest, maar mensen in Nederland meer trackingheaders hadden", aldus de onderzoekers.
Ze stellen dat hun onderzoek (pdf) (samenvatting - pdf) meer vragen dan antwoorden over het gebruik van trackingheaders oplevert. Er wordt dan ook gepleit voor verder onderzoek, zodat er beleid en maatregelen kunnen worden ontwikkeld om de privacyproblemen aan te pakken die met deze vorm van tracking samenhangen. Daarnaast roepen de onderzoekers telecomproviders op om het gebruik van trackingheaders kenbaar te maken. Ook moeten ze een manier bieden zodat gebruikers zich hiervoor kunnen afmelden.
Reactie Vodafone
Vodafone stelt dat het geen 'supercookies' gebruikt om app- en surfgedrag te volgen. "Om internetaankopen via de telefoonrekening te kunnen factureren, maakt Vodafone gebruik van een dynamische Anonymous Customer Reference. Dit is een anonieme code die alleen wordt aangemaakt als een klant een website bezoekt waar Vodafone een factureringsrelatie mee heeft. Als de klant daar vervolgens iets koopt, kan dit via de telefoonrekening betaald worden. Op basis van deze code, die in het netwerk wordt aangemaakt, brengen wij dit bedrag bij de juiste klant in rekening. Voor de verkopende site is niet duidelijk welke persoon de aankoop verricht heeft", aldus een reactie van de provider.
Vodafone 4G => Not tracked
Vodafone, via mijn VPN (eigen server) => You are not on a 3G/4G/LTE network.
Alweer een reden om altijd een (eigen) VPN te gebruiken .... :)
Veel routers ondersteunen dat tegenwoordig standaard en is het geen rocket science om een VPN op te zetten.
De speciale http header bestaat altijd en niet alleen bij factureringsrelaties.
De http header is uit te schakelen door contact op te nemen met de provider.
Hierna moet elke factureringsrelatie (aka dure sms diensten) je om je telefoonnummer vragen ipv automatisch.
De speciale http header bestaat altijd en niet alleen bij factureringsrelaties.
De http header is uit te schakelen door contact op te nemen met de provider.
Hierna moet elke factureringsrelatie (aka dure sms diensten) je om je telefoonnummer vragen ipv automatisch.
Nou waar is je artikel dan?
Misschien is Vodafone er snel mee gestopt. :-)
Misschien is Vodafone er snel mee gestopt. :-)
http://www.letmetrackyou.org/paper.pdf
http://www.mulliner.org/collin/academic/publications/mobile_web_privacy_icin10_mulliner.pdf
Bij T-mobile [nederland] doen ze t iets genuanceerder [worden alleen headers meegestuurd naar websites met een contractuele relatie] EN kun je t simpel uitzetten. Voda NL [kan|kon] je dat niet doen.
Geen idee [meer] wat KPN en alle MNx'en doen...
Bij T-mobile [nederland] doen ze t iets genuanceerder [worden alleen headers meegestuurd naar websites met een contractuele relatie] EN kun je t simpel uitzetten.
Ik kan me ook herinneren dat T-Mobile dit doet. Alleen een Google naar hoe deze dienst ook weer heet levert niets op. Zijn ze er wellicht mee gestopt? #privacy
Anonymous Subscriber ID (ASID)
https://www.t-mobile.nl/corporate/media/pdf/asid-omi-cookbook.pdf
De speciale http header bestaat altijd en niet alleen bij factureringsrelaties.
De http header is uit te schakelen door contact op te nemen met de provider.
Hierna moet elke factureringsrelatie (aka dure sms diensten) je om je telefoonnummer vragen ipv automatisch.
Nou waar is je artikel dan?
Nogsteeds benieuwd naar je artikel...
Inmiddels ben ik ook Broadcast UID-vrij, dus ik denk dat de grond te heet onder de voeten werd...
Goh, dit staat zo vol van de halve waarheden dat het pijn doet aan mijn ogen.
Als "Redactie" hier genoegen meeneemt dan komt Voda hier wel erg makkelijk mee weg...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.