Hotspots AT&T injecteren advertenties in wifi-verkeer
Hotspots van de Amerikaanse telecomaanbieder AT&T injecteren advertenties in het wifi-verkeer van gebruikers, zo heeft onderzoeker Jonathan Mayer ontdekt. Mayer was recentelijk op het vliegveld van Dulles en maakte verbinding met een gratis hotspot van AT&T.
De websites die hij bezocht hadden opeens allerlei advertenties op plekken waar ze niet thuishoren. Het duurde niet lang voordat Mayer ontdekte dat de wifi-hotspot van AT&T het HTTP-verkeer manipuleerde. De telecomaanbieder maakt gebruik van een advertentie-injectieplatform dat door een startup genaamd RaGaPa is ontwikkeld. Als een HTML-pagina over HTTP wordt geladen worden er drie aanpassingen gemaakt.
Zo wordt de advertentie toegevoegd, alsmede een tweede advertentie als back-up voor het geval de browser geen JavaScript ondersteunt. Als laatste worden er scripts toegevoegd voor het laden en weergeven van de advertenties. Door het injecteren van advertenties wordt het surfgedrag van gebruikers aan onbekende en onbetrouwbare bedrijven blootgesteld, zo schrijft de onderzoeker.
Daarnaast wordt ook de naam en content van bedrijven aangetast, omdat de advertenties op allerlei websites verschijnen die normaal geen advertenties laten zien. Het is ook niet duidelijk dat de advertenties van de hotspot afkomstig zijn. Verder introduceert het beveiligingsrisico’s, aldus Mayer. Hij roept AT&T dan ook op om hiermee te stoppen. Verder laat het volgens de onderzoeker zien dat het belangrijk is dat websites alleen via HTTPS bereikbaar zijn, aangezien er dan geen advertenties in het verkeer worden geïnjecteerd.
Dat is met zowat alle sites het geval. Doordat advertenties worden uitbesteed aan een advertentiehoster, meestal een
stel nikskunners, weet je nooit wat er gebeurt als je een advertentie inlaadt.
Daarom moet je advertenties ook altijd BLOKKEREN.
Het niet-versleuteld zijn van internetverkeer geeft je geen vrijbrief daarvoor.
Mooi, aanklagen die zooi. Zeker voor de mensen met sites zonder advertenties die aan kunnen tonen dat dit bij hen geflikt wordt.
Dus wellicht dat ze 't daar op gooien als er klachten komen ;-)
Overigens, bij een gratis dienst ben je niet de klant, maar het product, toch (if you are not paying for it, you are the product) ?
http://webpolicy.org/2015/08/25/att-hotspots-now-with-advertising-injection/#att_wifi_fn_7
Helaas heeft de leek er niets aan, maar voor mij is dit een reden om alleen via een VPN van willekeurig welk onbekende hotspot gebruik te maken.
En als ik eerst langs een landingspagina moet hebben ze pech.
Normaal wel, maar als een vliegveld deze dienst aanbiedt, verwacht je dat je deze dienst met je vliegticket betaald en niet met reclame.
Is niet zo moeilijk te maken met 'gratis' wifi... Zelf een routertje erbij (desnoods een beaglebone of raspberry pi, en voila, gratis inkomsten van gratis wifi van anderen...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.