Telekommunikationsriese Airtel soll JavaScript in die Browsersitzung indischer Nutzer injizieren

Programmierer aus Bangalore findet verdächtigen Code während des Surfens im 3G-Netz von Airtel und erhält Drohung mit einer strafrechtlichen Abmahnung

Der private Telekommunikationsanbieter Airtel steht erneut in der Kritik, diesmal von einem Aktivisten in sozialen Medien. Das Unternehmen, das bereits heftige Kritik wegen der Netzneutralität einstecken musste, sieht sich nun Vorwürfen der Verletzung der Privatsphäre seiner Kunden gegenüber.

In einem Twitter-Beitrag vom 3. Juni hat der in Bengaluru ansässige unabhängige Technologe Thejesh G.N. behauptet, dass „Airtel 3G heimlich JavaScript in Ihre Browsersitzung injiziert“. Er veröffentlichte auch einen Screenshot des Codes auf GitHub. Laut Thejeshs Beitrag auf GitHub stammte die IP-Adresse, von der der Java-Code ausgegangen war, von Bharti Airtel in Bengaluru.

Airtel 3G injiziert JavaScript in Ihre Browsersitzung https://t.co/QHPpSKinve — Thejesh GN (@thej) 3. Juni 2015

The Wire.in berichtet, dass eine kurze Inspektion ergab, dass der Code aus wenigen Zeilen JavaScript bestand, die ein Asset wie eine Werbung auf den Webseiten, die Thejesh besuchte, luden. Es wurde Anchor.js genannt. Mit einem webbasierten IP-Tracker konnte er auch feststellen, dass der Code von der IP-Adresse 223.224.131.144 stammte – die zu Bharti Airtel Limited gehörte.

Das ist alles sehr vage. Aber das ist erst der Anfang dieser Geschichte. Am 8. Juni erhielt Thejesh das absurdeste rechtliche Drohschreiben von einem Anwalt namens Ameet Mehta von der Kanzlei Solicis Lex. Es behauptet, ein israelisches Unternehmen, Flash Network, zu vertreten, das anscheinend für die Code-Injektionssoftware verantwortlich ist, und behauptete, dass Thejesh durch die bloße Offenlegung, dass Airtel diese Injektionen vornahm, gegen das Urheberrecht gemäß dem Information Technology Act von 2000 verstoßen habe.

Am 9. Juni folgte auf die Anordnung eine Abmahnung (unter dem Digital Millennium Copyright Act der USA), die auf GitHub veröffentlicht wurde. Danach wurden Thejeshs Dateien unerreichbar, obwohl eine zwischengespeicherte Version hier verfügbar ist.

Ich habe also ein Abmahnungsschreiben erhalten, weil ich die JS-Injektion durch einen großen Telekommunikationsanbieter veröffentlicht habe. Ich werde es wahrscheinlich entfernen 🙁 — Thejesh GN (@thej) 8. Juni 2015

Vignesh Sundaresan, ein Entwickler aus Ottawa, sagte zur JavaScript-Injektion, dass es eine sehr unangenehme Technik sei, um bestimmten Programmen zusätzliche Funktionen hinzuzufügen, und „es oft unangenehm ist, wenn sie ohne vorherige Benachrichtigung des Nutzers injiziert wird“. Daher lud Thejesh den Standort und andere Details des Programms auf GitHub hoch, einer Plattform für Entwickler, um andere Nutzer zu warnen.

Die Verschwörung des Falls stammt von dem Ziel von Flash Networks, das in seinen Mitteilungen nie diskutiert wird. In ihrer C&D-Anordnung erwähnen die Anwälte nicht, was Anchor.js für Flash sowie, und noch wichtiger, für das Airtel-Netzwerk ermöglicht. Wenn Thejesh oder ein anderer anfälliger Nutzer eine Webseite im Airtel 3G-Netz besucht, lädt Anchor.js ein Popup eines Drittanbieters, wie eine Werbung, auf dieser Seite.

Wenn der Nutzer dieses Popup ansieht oder damit interagiert, verdient derjenige, der dieses Popup erstellt hat, Geld. In diesem Fall, da Flash Networks die Quelle von Anchor.js ist, die auf der IP-Adresse von Airtel gehostet wird, impliziert dies, dass Airtel Anchor.js verwendet, um Geld für sich selbst zu verdienen, indem es die Browsing-Erfahrung des Nutzers nutzt. Es besteht auch die zusätzliche Bedrohung, dass Flash Networks sein nicht verifiziertes Skript verwendet, um Nutzerdaten zu suchen.

Da Thejesh jedoch nicht die kommerzielle Nutzung von Anchor.js beabsichtigte (noch hat er Code offengelegt, der nicht bereits vertraulich war), ist unklar, wie das Urheberrecht von Flash verletzt wurde. Pranesh Prakash, Policy Director am Centre for Internet and Society, twitterte, dass unabhängig davon, wie Anchor.js Thejeshs Erfahrung beeinträchtigt hat, sein Akt des Hochladens auf GitHub durch Abschnitt 52(1)(ac) des indischen Urheberrechtsgesetzes von 1957 geschützt war.

Es besagt, dass „das Studium oder der Test der Funktionsweise des Computerprogramms, um die Ideen und Prinzipien zu bestimmen, die den Elementen des Programms zugrunde liegen, während man solche Handlungen vornimmt, die für die Funktionen notwendig sind, für die das Computerprogramm bereitgestellt wurde.“

Die Absicht von Flash Networks signalisiert, dass der ISP die Netzneutralität verletzt, da ein Nutzer im Airtel 3G-Netz eine Webseite X anders sieht als ein Nutzer bei beispielsweise BSNL, aufgrund des Assets, das durch das injizierte Skript geladen wurde.

Kürzlich, während die Debatte über die Netzneutralität in Indien nach einem umstrittenen politischen Dokument von TRAI anstieg, war Airtel mitten im Geschehen. Es beinhaltete, dass Airtel von beispielsweise Facebook bezahlt wurde, um Nutzern den kostenlosen Zugang zu Facebook über die Airtel-Netzwerke zu ermöglichen. Der Deal verletzte die Netzneutralität, da er die bevorzugte Behandlung von Datenpaketen basierend auf ihren Quellen verschleierte.

Sundaresan kommentierte, dass, sollte solch dubiose Fälle von JavaScript-Injektion in der westlichen Welt entdeckt werden, der Injektor für Millionen verklagt werden könnte.

Airtel hat seitdem eine Erklärung zu dem Thema abgegeben und behauptet, die JavaScript-Injektion sei eine Möglichkeit, um zu verfolgen, wie viele Daten der Abonnent verbraucht hat, zu Abrechnungszwecken, und bezeichnete sie als „Standardlösung, die von Telekommunikationsanbietern weltweit eingesetzt wird“. Gleichzeitig erklärt die Erklärung nicht, warum die Operation Werbung auf den Zielwebseiten des Nutzers platzierte.

Tatsächlich distanzierte sich Airtel auch von der Anordnung, die Flash Networks an Thejesh erteilt hat: „Wir … erklären ausdrücklich, dass wir in keiner Weise mit der Mitteilung in Verbindung stehen.“ Dennoch wird durch eine der Pressemitteilungen von Flash aus dem Jahr 2014, die Airtel und Vodafone unter ihren Kunden aufführt, verraten, dass die beiden Unternehmen miteinander verbunden sind und waren.

Wenn die Beteiligung des ISP überzeugender nachgewiesen wird, wird er wahrscheinlich rechtlichen Schritten wegen Verletzung der Privatsphäre der Nutzer ausgesetzt, da das Skript auch injiziert worden sein könnte, als Menschen Thejeshs Webseite über das Netzwerk von Airtel aufriefen; der ISP könnte auch dafür verantwortlich sein, seinen Inhalt für sein Publikum verzerrt zu haben.

Es hat sich auch herausgestellt, dass Vodafone möglicherweise ebenfalls ähnliche Injektionen von Drittanbietersoftware in Browser vornimmt.

Für diejenigen, die argumentieren, dass Urheberrecht niemals zur Zensur verwendet wird: erklären Sie diese Geschichte. Natürlich scheint alles in großem Maße nach hinten loszugehen. Flash wollte vielleicht verbergen, was sie taten, aber jetzt erhält es viel, viel, viel mehr Aufmerksamkeit. Vielleicht werden Flash und Airtel beim nächsten Mal, anstatt Whistleblower ihrer schlechten Praktiken mit Ansprüchen auf strafrechtliche Urheberrechtsverletzung zu bedrohen, mehr über ihre eigenen schlechten Geschäftspraktiken nachdenken, die die Nutzer gefährden.