인도 사용자 브라우징 세션에 자바스크립트를 주입하고 있는 통신 대기업 Airtel

벵갈루루 기반 프로그래머, Airtel의 3G 네트워크에서 브라우징 중 의심스러운 코드를 발견하고 범죄 행위 통지로 위협받음

민간 통신 사업자 Airtel이 다시 한 번 비난을 받고 있으며, 이번에는 소셜 미디어 활동가로부터입니다. 넷 중립성에 대한 심각한 비판을 받았던 이 회사는 이제 고객의 프라이버시를 침해했다는 혐의를 받고 있습니다.

6월 3일자 트위터 게시물에서 벵갈루루 기반의 독립 기술자 Thejesh G.N.은 “Airtel 3G가 조용히 자바스크립트를 당신의 브라우징 세션에 주입하고 있다”고 주장했습니다. 그는 또한 GitHub에 코드의 스크린샷을 게시했습니다. Thejesh의 GitHub 게시물에 따르면, 자바 코드가 유래된 IP 주소는 벵갈루루의 Bharti Airtel에서 온 것이었습니다.

Airtel 3G는 당신의 브라우징 세션에 자바스크립트를 주입하고 있습니다 https://t.co/QHPpSKinve — Thejesh GN (@thej) 2015년 6월 3일

The Wire.in은 간단한 검토를 통해 이 코드가 Thejesh가 방문한 웹페이지에 광고와 같은 자산을 로드하는 몇 줄의 자바스크립트로 구성되어 있음을 드러냈다고 보도했습니다. 이 코드는 Anchor.js라고 불렸습니다. 웹 기반 IP 추적기를 사용하여 그는 이 코드가 Bharti Airtel Limited에 속하는 IP 주소 223.224.131.144에서 유래되었다는 것을 발견할 수 있었습니다.

그것은 모두 매우 모호합니다. 하지만 이것은 이 이야기의 시작에 불과합니다. 6월 8일, Thejesh는 법률 회사 Solicis Lex의 변호사 Ameet Mehta로부터 가장 터무니없는 법적 위협 서신을 받았습니다. 이 서신은 자바스크립트 주입 소프트웨어에 대해 책임이 있는 이스라엘 회사 Flash Network를 대리한다고 주장하며, Airtel이 이러한 주입을 하고 있다는 사실을 공개함으로써 Thejesh가 정보 기술법 2000에 따라 범죄 저작권 침해에 연루되었다고 주장했습니다.

6월 9일, 이 명령은 GitHub에 게시된 삭제 통지(미국 디지털 밀레니엄 저작권법에 따라)로 이어졌습니다. 이후 Thejesh의 파일은 접근할 수 없게 되었지만 캐시된 버전은 여기에서 확인할 수 있습니다.

그래서 나는 대형 통신사에 의해 JS 주입을 폭로한 것에 대해 중단 및 중지 서신을 받았습니다. JS 코드와 스크린샷을 게시한 것에 대해. 아마도 나는 그것을 삭제할 것입니다 🙁 — Thejesh GN (@thej) 2015년 6월 8일

오타와 기반 개발자 Vignesh Sundaresan은 자바스크립트 주입이 특정 프로그램에 추가 기능을 추가하는 매우 어색한 기술이라고 말하며 “사용자에게 사전 통지 없이 주입될 때 종종 불쾌하다”고 언급했습니다. 그래서 Thejesh는 다른 사용자에게 경고하기 위해 GitHub에 프로그램의 위치 및 기타 세부 정보를 업로드했습니다.

이 사건의 음모는 Flash Networks의 목표에서 비롯되며, 이는 그들의 통지에서 결코 논의되지 않습니다. 변호사들이 언급하지 않는 것은 Anchor.js가 Flash와 더 중요하게는 Airtel 네트워크에 대해 무엇을 가능하게 하는지입니다. Thejesh 또는 다른 취약한 사용자가 Airtel 3G 네트워크에서 웹페이지를 방문할 때, Anchor.js는 해당 페이지에 광고와 같은 제3자 팝업을 로드합니다.

사용자가 해당 팝업을 보거나 상호작용할 때, 그 팝업을 만든 사람은 돈을 벌게 됩니다. 이 경우, Anchor.js의 출처인 Flash Networks가 Airtel의 IP 주소에 호스팅되고 있기 때문에, Airtel이 사용자의 브라우징 경험을 사용하여 스스로 돈을 벌고 있다는 암시가 있습니다. Flash Networks가 검증되지 않은 스크립트를 사용하여 사용자 데이터를 탐색할 위험도 추가로 존재합니다.

그러나 Thejesh가 Anchor.js의 상업적 사용을 의도하지 않았고 (그가 이미 기밀이 아닌 코드를 폭로하지도 않았기 때문에), Flash의 저작권이 어떻게 침해되었는지는 불확실합니다. 인터넷 및 사회 센터의 정책 이사인 Pranesh Prakash는 Anchor.js가 Thejesh의 경험에 해를 끼쳤는지 여부와 관계없이, 그가 GitHub에 업로드한 행위는 1957년 인도 저작권법 제52조(1)(ac)에 의해 보호된다고 트윗했습니다.

이 조항은 “컴퓨터 프로그램의 기능을 연구하거나 테스트하여 프로그램의 요소에 기초한 아이디어와 원칙을 결정하기 위해 필요한 행위를 수행하는 동안”이라고 명시하고 있습니다.

Flash Networks의 의도는 ISP가 넷 중립성을 위반하고 있다는 신호를 보냅니다. Airtel 3G 네트워크의 사용자는 주입된 스크립트에 의해 로드된 자산 때문에 웹사이트 X를 BSNL과 같은 다른 사용자와 다르게 봅니다.

최근 인도에서 TRAI의 논란이 되는 정책 문서에 따라 넷 중립성 논쟁이 고조되면서 Airtel Zero가 중심에 있었습니다. 이는 Airtel이 Facebook과 같은 회사로부터 사용자들이 Airtel 네트워크에서 Facebook에 무료로 접근할 수 있도록 돈을 받는 것을 포함했습니다. 이 거래는 데이터 패킷의 출처에 따라 우선적인 대우를 가장하여 넷 중립성을 훼손했습니다.

Sundaresan은 서구 세계에서 이러한 의심스러운 자바스크립트 주입 사례가 발견된다면, 삽입자는 수백만 달러의 소송을 당할 수 있다고 언급했습니다.

Airtel은 이후 이 문제에 대해 성명을 발표하며 자바스크립트 주입이 구독자가 소비한 데이터 양을 추적하기 위한 방법이라고 주장하며 “전 세계 통신사들이 배포하는 표준 솔루션”이라고 설명했습니다. 동시에 이 성명은 왜 이 작업이 사용자의 목적지 웹페이지에 광고를 게재하고 있는지 설명하지 않습니다.

실제로 Airtel은 Thejesh에게 발송된 Flash Networks의 명령과의 관계를 부인했습니다: “우리는 … 이 통지와 전혀 관계가 없음을 분명히 밝힙니다.” 그럼에도 불구하고 두 회사가 서로 연관되어 있다는 것은 Flash의 2014년 보도 자료 중 하나에서 Airtel과 Vodafone이 고객 목록에 포함되어 있다는 사실로 드러납니다.

ISP의 연관성이 더 확실하게 입증된다면, 사용자의 프라이버시를 위반한 혐의로 법적 조치를 받을 가능성이 높습니다. 스크립트가 사람들이 Airtel의 네트워크를 통해 Thejesh의 웹사이트를 볼 때 주입되었을 수도 있기 때문입니다. ISP는 또한 그의 콘텐츠를 청중에게 왜곡했을 가능성이 있습니다.

Thejesh의 폭로 이후 Vodafone도 브라우저에 제3자 소프트웨어를 유사하게 삽입하고 있을 가능성이 제기되었습니다.

저작권이 결코 검열에 사용되지 않는다고 주장하는 사람들에게: 이 이야기를 설명하십시오. 물론, 모든 것이 큰 방식으로 역효과를 내고 있는 것 같습니다. Flash는 그들이 무엇을 하고 있는지 숨기고 싶었지만, 이제는 훨씬 더 많은 주목을 받고 있습니다. 아마도 다음 번에는 당신의 나쁜 관행을 폭로하는 내부 고발자에게 범죄 저작권 침해를 주장하며 위협하기보다는, Flash와 Airtel이 사용자에게 위험을 초래하는 자신의 형편없는 비즈니스 관행에 대해 더 많이 생각할 것입니다.