Telia injicerar inte kod i webbsidor

Uppdatering: har nu dementerat detta via Twitter och skriver att det är Twitter själva som visar detta meddelande.

Frågor som kvarstår är dock hur Telia meddelar Twitter att just detta är en kund med abonnemang X. Läcker denna meta-data?

Via @mockzallad på Twitter så uppdagades det att Telia möjligen injicerar HTML-kod i webbsidor. Detta inträffar när en Telia-kund lämnar en webbsida som omfattas av Telia när det gäller sociala medier, se följande skärmdump:

Telia gratis sociala medier

Det som nu inträffar är att när användaren lämnar någon av ovan sociala medier så visar Telia (eller Twitter) följande meddelande:

mockzallad

Och när det gäller skriver Telia följande på sin hemsida:

Nätneutralitet är en mycket viktig fråga som vi följer noga, det tror jag gäller för samtliga operatörer. Vårt nya erbjudande om fri surf i sociala medier ger kunderna ännu mer surffrihet, vi gör ingen prioritering av trafik eller någon typ av blockering, därför menar vi att det inte står i konflikt med nätneutraliteten.

Vilket jag tycker är helt felaktigt. Speciellt när man som ovan påverkar innehållet i datatrafiken med en teknisk metod som just nu är okänd.

Vet du hur Telia gör rent tekniskt, ? Lämna gärna en kommentar nedan eller på Facebook.

Uppdatering: Även om Telia själva skriver att dom injicerar kod så kan det vara så att Twitter har stöd för att visa dessa meddelanden när länkar går via deras egen länkförkortare t.co.

screenshot

Uppdatering 2: För att förtydliga, innan vi har några tekniska detaljer hur detta går till så har inlägget uppdaterats.

Möjliga metoder för att visa ovan meddelande kan vara följande:

  • MITM på icke https-trafik in-transit
  • Samarbete med Twitter som ändrar utgående länkar
  • DNS-redirect
  • TeliaSonera som är en egen CA genererar certifikat. Minst troligt

7 comments

  1. Anders

    ”Vi har valt att definiera sociala medier som tjänster vars primära syfte är att möjliggöra kommunikation och interaktion mellan människor, antingen direkt eller i grupp.”

    Så alltså hela internet!?

  2. Erik Wikström

    1. Så vitt jag vet så kör alla operatörer i sverige med deep packet inspection, och undersöker vilka siter du besöker. Vad gör de med informationen? Inte mycket, med största sannolikhet spårar de inte det per användare, utan använder det för att aggregera statistik och ha som underlag för nya betalmodeller.
    2. För okrypterad trafik är det trivialt att redirecta en HTTP request till en annan server, vilket med största sannolikhet är vad det handlar om i detta fallet. Orginal-URIn kan sparas vilket gör det möjligt att skicka vidare användaren efter den har godkänt villkoren eller vad de nu vill att du skall göra. Allt som behövs är att detektera att det är en HTTP GET, och sedan skicka ett redirect svar på den, skickar en TCP RST till servern och stänga anslutningen till clienten.
    3. För krypterad trafik är det mycket svårare, vad man kan göra är att intercepta och modifiera DNS requests, men jag tvivlar på att det används (det vill säga att det är bara okrypterad trafik de kan hantera).

    PS: Även om man kör krypterad trafik går det att korrelera DNS queris med trafik till olika IP-adresser, och i certifikaten som utbyts okrypterat så finns domännamn med.

  3. Magnus Johnsson

    En 5 minuters granskning i mobilen ger att det är twitter själva som lägger till länken. Alla cert ser bra ut och från rätt utgivare. #massivkonspiration #teliaserallt

    Seriöst, lägger ni inte ner någon tid själva på att undersöka saker? Speciellt när ni heter ‘kryptera.se’? Herregud. Fem minuter.

  4. admin

    Så du tycker att jag ska lita mer på det du skriver än Telia? Har du någon teknisk bevisning för detta? Jag skrev inlägget för att just någon skulle kontrollera detta eftersom ingen verkar ha gjort detta. Lite hönan och ägget

  5. Magnus Johnsson

    Det är skitenkelt. Ta upp din mobil med teliaabonnemang. Surfa till twitter. Leta upp en post med en länk till extern sida. Kolla certifikatet på sidan du laddat, notera att det är exakt samma CA som på datorn. Kolla vart länken faktiskt länkar till (på android, håll inne, det poppar upp), notera att det är till en twitterkontrollerad adress med namnet ‘acceptdata’. Gå till adressen, notera att det är samma CA som innan. Klart.

    Så telia’s tekniskt kunna människor sitter inte på deras twitterkonto? What else is new? XD

  6. admin

    Kan du köra det via en proxy på din dator så du ser exakt vad för objekt som laddas vart ifrån?

  7. Sebastian Nielsen

    Jag misstänker att telia har avsatt en del av sina IP-serier till att enbart delas ut till folk med abonnemanget X, och sedan är det en enkel CIDR-koll på avsändarIPt för att avgöra om datatrafiksrutan skall visas.

    Typ som om avsändarIPt är inom xxx.xxx.xxx.xxx/yy så är det ett abbonemang som har ”Fri Sociala-nätverks-surf” och därmed visas varningen.

Skriv en kommentar

Du kan använda följande HTML HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>