Билайн подставляет в транзитный HTTP-трафик свой JavaSсript-код

отметили
67
человек
в архиве
Билайн подставляет в транзитный HTTP-трафик свой JavaSсript-код
Компания Вымпелком, предоставляющая услуги сотовой связи под брендом Билайн, воплотила в жизнь технологию, грубейшим образом нарушающую все мыслимые нормы соблюдения приватности пользователей. В лучших традициях внедрения вредоносного ПО в незашифрованный транзитный HTTP-трафик клиентов началось добавление JavaScript-кода, выполняемого в контексте всех открываемых страниц, без спроса выводящего окно с рекламой услуги «Мини-кабинет» и размещающего сбоку всех страниц специальную кнопку для быстрого обращения к данному сервису.

Внедряемый JavaScript-код имеет полный доступ к контексту всех незашифрованных страниц и может контролировать весь информационный поток, в том числе вводимые пользователем пароли, параметры идентификации и т.п. Согласие на применение данного сервиса абонентом не давалось, подстановка JavaSсript-кода в трафик осуществлена односторонним решением оператора. При попытке закрыть окно осуществляется вывод страницы с кратким описанием сервиса. Судя по информации в Сети подобные рекламные инициативы Билайн периодически проводит ещё с 2014 года.

источник: opennet.ru
Добавил X86 X86 [БАН] 21 Февраля 2016
Комментарии участников:
sant
+3
sant, 22 Февраля 2016 , url
ну чо — диверсия…
Александр Иванов 55236
0
Александр Иванов 55236, 22 Февраля 2016 , url
мне кажется это давно уже стало суровой реальностью. пару лет назад пришлось мобильный мегафон использоваться — что-то подобное также имело место быть
Trin
0
Trin, 22 Февраля 2016 , url
Да, есть такое, особенно если пробрасываешь мобильный интернет на ноут. Еще встраиваемые фреймы на https страницы полностью коверкаются.
asterfisch
+1
asterfisch, 22 Февраля 2016 , url
Пользователям, наблюдающим такие сообщения, я бы порекомендовал внимательно прочитать их договор с оператором. Такое не должны видеть абоненты, явно оказавшиеся от рекламных оповещений. А они как правило обозначаются в договоре на услуги связи, который почти никто не читает. Могу с определенной уверенностью предположить, что ничего противозконного. В любом случае можно составить претензию и отказаться от рекламных оповещений оператора, если это не было сделано.
Anton-f
0
Anton-f, 22 Февраля 2016 , url
В любом случае можно составить претензию и отказаться от рекламных оповещений оператора, если это не было сделано.

Можно. Но толку не будет.
asterfisch
0
asterfisch, 22 Февраля 2016 , url
Это почему?) Тогда в Роскомнадзор. Принцип такой же как с SMS рассылками.
норд
0
норд, 22 Февраля 2016 , url
Внедряемый JavaScript-код имеет полный доступ к контексту всех незашифрованных страниц и может контролировать весь информационный поток
я так думаю, что и в зашифрованные страницы тоже может вставлять, ибо сотовый оператор как раз является man-in-the middle в схеме шифрования с открытыми ключами. И он же, кстати, на пути проверки сертификатов стоит :)
Так что, надо придумывать что-то другое в плане шифрования.
asterfisch
0
asterfisch, 22 Февраля 2016 , url
В зашифрованный (HTTPS) незаметно для вашего браузера не сможет, пока не установите в телефон или в ПК их сертификат.
норд
0
норд, 22 Февраля 2016 , url
А браузер сертификат через чей канал проверяет?
СуперМультик
0
СуперМультик, 22 Февраля 2016 , url
В браузере есть открытые ключи центров сертификации. Новая версия браузера — новый набор ключей — новые серт. центры.
asterfisch
0
asterfisch, 23 Февраля 2016 , url
Перехватить ответ на ваш запрос и отдать его браузеру без обнаруживаемой на стороне клиента подмены сертификата не получится. Сертификат провайдера должен каким-то образом оказаться в вашем браузере. Так для услуг родительского контроля пользователи ставят его самостоятельно.


Войдите или станьте участником, чтобы комментировать