Il gigante delle telecomunicazioni Airtel avrebbe iniettato JavaScript nella sessione di navigazione degli utenti indiani

Un programmatore di Bangalore trova codice sospetto mentre naviga sulla rete 3G di Airtel e riceve una minaccia di avviso per reato penale

L’operatore di telecomunicazioni privato Airtel è nuovamente sotto accusa, questa volta da un attivista sui social media. L’azienda, che ha affrontato severe critiche per la neutralità della rete, ora deve affrontare accuse di invasione della privacy dei clienti.

In un post su Twitter datato 3 giugno, il tecnologo indipendente di Bengaluru Thejesh G.N. ha affermato che “Airtel 3G sta silenziosamente iniettando java script nella tua sessione di navigazione.” Ha anche pubblicato uno screenshot del codice su GitHub. Secondo il post di Mr. Thejesh su GitHub, l’indirizzo IP da cui è originato il codice Java proveniva da Bharti Airtel a Bengaluru.

Airtell 3G sta iniettando javascript nella tua sessione di navigazione https://t.co/QHPpSKinve — Thejesh GN (@thej) 3 giugno 2015

The Wire.in riporta che un’ispezione breve ha rivelato che il codice consisteva in poche righe di JavaScript che caricavano un asset come un annuncio sulle pagine web che Thejesh stava visitando. Era chiamato Anchor.js. Utilizzando un tracker IP basato sul web, è stato anche in grado di scoprire che il codice proveniva dall’indirizzo IP 223.224.131.144 – che apparteneva a Bharti Airtel Limited.

Tutto ciò è molto vago. Ma questo è solo l’inizio di questa storia. L’8 giugno, Thejesh ha ricevuto la lettera di minaccia legale più assurda, proveniente da un avvocato di nome Ameet Mehta dello studio legale Solicis Lex. Si afferma di rappresentare un’azienda israeliana, Flash Network, che è apparentemente responsabile per il software di iniezione del codice e ha affermato che rivelando semplicemente al pubblico che Airtel stava effettuando queste iniezioni, Thejesh aveva commesso una violazione penale del copyright ai sensi dell’Information Technology Act, 2000.

Il 9 giugno, l’ordine è stato seguito da un avviso di rimozione (ai sensi del Digital Millennium Copyright Act degli Stati Uniti) pubblicato su GitHub. Dopo questo, i file di Thejesh sono diventati inaccessibili anche se una versione memorizzata nella cache è disponibile qui.

Quindi ho ricevuto una lettera di cessazione e desistenza per aver esposto l’iniezione di JS da parte di un grande operatore per la pubblicazione di codice JS e screenshot. Probabilmente lo rimuoverò 🙁 — Thejesh GN (@thej) 8 giugno 2015

Vignesh Sundaresan, uno sviluppatore di Ottawa, ha affermato che l’iniezione di JavaScript è una tecnica molto scomoda per aggiungere funzionalità extra a determinati programmi e “è spesso sgradevole quando viene iniettata senza prima avvisare l’utente”. Così, Thejesh ha caricato la posizione e altri dettagli del programma su GitHub, una piattaforma di collaborazione sul web per sviluppatori, per avvisare altri utenti.

La cospirazione del caso deriva dall’obiettivo di Flash Networks, di cui non discute mai nei suoi avvisi. Nel loro ordine C&D, ciò che gli avvocati non menzionano è ciò che Anchor.js consente a Flash e, più significativamente, alla rete Airtel. Quando Thejesh o qualsiasi utente suscettibile visita una pagina web sulla rete 3G di Airtel, Anchor.js carica un popup di terze parti, come un annuncio, su quella pagina.

Quando l’utente visualizza o interagisce con quel popup, chiunque abbia creato quel popup guadagna dei soldi. In questo caso, poiché Flash Networks, la fonte di Anchor.js, è ospitata sull’indirizzo IP di Airtel, l’implicazione è che Airtel sta usando Anchor.js per guadagnare denaro per sé utilizzando l’esperienza di navigazione dell’utente. C’è anche la minaccia aggiuntiva che Flash Networks utilizzi il suo script non verificato per cercare dati degli utenti.

Tuttavia, poiché Thejesh non intendeva un uso commerciale di Anchor.js (né ha esposto codice che non fosse già riservato), non è certo come sia stata violata la copyright di Flash. Pranesh Prakash, Direttore Politico del Centre for Internet and Society, ha twittato che indipendentemente da come Anchor.js abbia danneggiato l’esperienza di Thejesh, il suo atto di caricarlo su GitHub era protetto dalla Sezione 52(1)(ac) della Legge sul Copyright indiana del 1957.

Stabilisce che “lo studio o il test del funzionamento del programma informatico al fine di determinare le idee e i principi che sottendono a qualsiasi elemento del programma mentre si svolgono tali atti necessari per le funzioni per le quali il programma informatico è stato fornito.”

L’intento di Flash Networks segnala che l’ISP sta violando la neutralità della rete perché un utente sulla rete 3G di Airtel vede un sito web X in modo diverso rispetto a un utente su, ad esempio, BSNL, a causa dell’asset caricato dallo script iniettato.

Recentemente, mentre il dibattito sulla neutralità della rete stava crescendo in India a seguito di un controverso documento politico del TRAI, Airtel Zero era al centro della questione. Comportava che Airtel fosse pagata da, ad esempio, Facebook per consentire agli utenti di accedere a Facebook gratuitamente sulle reti Airtel. L’accordo ha violato la neutralità della rete perché mascherava il trattamento preferenziale dei pacchetti dati in base alle loro fonti.

Sundaresan ha commentato che se tali istanze dubbie di iniezione di JavaScript venissero scoperte nel mondo occidentale, l’inseritore potrebbe essere citato in giudizio per milioni.

Airtel ha da allora rilasciato una dichiarazione sulla questione, affermando che l’iniezione di JavaScript era un modo per tenere traccia di quanto dato il sottoscrittore avesse consumato, per scopi di fatturazione, e l’ha definita una “soluzione standard adottata da telco a livello globale”. Allo stesso tempo, la dichiarazione non spiega perché l’operazione stesse posizionando annunci sulle pagine di destinazione dell’utente.

Infatti, Airtel si è anche distanziata dall’ordine emesso da Flash Networks a Thejesh: “Noi … dichiariamo categoricamente che non abbiamo alcuna relazione, in alcun modo, con l’avviso.” Anche così, il fatto che le due aziende siano e siano state associate l’una all’altra è rivelato da uno dei comunicati stampa di Flash del 2014 che include Airtel e Vodafone tra i suoi clienti.

Se il coinvolgimento dell’ISP viene stabilito in modo più convincente, è probabile che affronti azioni legali per violazione della privacy degli utenti poiché lo script potrebbe anche essere stato iniettato quando le persone visualizzavano il sito web di Thejesh tramite la rete di Airtel, l’ISP è anche responsabile di aver distorto il suo contenuto per il suo pubblico.

È emerso anche da quando Thejesh ha rivelato che Vodafone potrebbe anche essere coinvolta in simili inserimenti di software di terze parti nei browser.

Per coloro che sostengono che il copyright non venga mai utilizzato per la censura: spiegate questa storia. Certo, sembra che tutto stia tornando indietro in modo significativo. Flash potrebbe aver voluto nascondere ciò che stavano facendo, ma ora sta ricevendo molta, molta, molta più attenzione. Forse, la prossima volta, piuttosto che minacciare i whistleblower delle vostre cattive pratiche con affermazioni di violazione penale del copyright, Flash e Airtel penseranno di più alle proprie pratiche commerciali scadenti che mettono a rischio gli utenti.