Gigante de telecomunicações Airtel supostamente injetando JavaScript na sessão de navegação de usuários indianos

Programador baseado em Bangalore encontra código suspeito enquanto navega na rede 3G da Airtel e recebe ameaça de notificação de crime

O operador de telecomunicações privado Airtel mais uma vez está sob fogo, desta vez de um ativista de mídia social. A empresa, que enfrentou severas críticas sobre a neutralidade da rede, agora enfrenta acusações de invasão da privacidade dos clientes.

Em um post no Twitter datado de 3 de junho, o tecnólogo independente de Bengaluru, Thejesh G.N., afirmou que “Airtel 3G está silenciosamente injetando JavaScript na sua sessão de navegação.” Ele também postou uma captura de tela do código no GitHub. De acordo com o post de Thejesh no GitHub, o endereço IP de onde o código Java se originou era da Bharti Airtel em Bengaluru.

Airtel 3G está injetando JavaScript na sua sessão de navegação https://t.co/QHPpSKinve — Thejesh GN (@thej) 3 de junho de 2015

O Wire.in relata que uma breve inspeção expôs que o código consistia em algumas linhas de JavaScript que carregavam um ativo como um anúncio nas páginas da web que Thejesh estava visitando. Ele foi chamado de Anchor.js. Usando um rastreador de IP baseado na web, ele também conseguiu descobrir que o código se originava do endereço IP 223.224.131.144 – que pertencia à Bharti Airtel Limited.

Isso tudo é muito vago. Mas isso é apenas o começo desta história. Em 8 de junho, Thejesh recebeu a carta de ameaça legal mais absurda, vinda de um advogado chamado Ameet Mehta do escritório de advocacia Solicis Lex. A carta afirma representar uma empresa israelense, Flash Network, que é aparentemente responsável pelo software de injeção de código e alegou que ao simplesmente revelar ao público que a Airtel estava fazendo essas injeções, Thejesh havia cometido uma infração criminal de direitos autorais sob a Lei de Tecnologia da Informação de 2000.

Em 9 de junho, a ordem foi seguida por um aviso de remoção (sob a Lei de Direitos Autorais do Milênio Digital dos EUA) postado no GitHub. Após isso, os arquivos de Thejesh se tornaram inacessíveis, embora uma versão em cache esteja disponível aqui.

Então eu recebi uma carta de cessar e desistir por expor a injeção de JS por uma grande operadora de telecomunicações por publicar código JS e capturas de tela. Eu provavelmente vou removê-lo 🙁 — Thejesh GN (@thej) 8 de junho de 2015

Vignesh Sundaresan, um desenvolvedor baseado em Ottawa, disse que a injeção de JavaScript é uma técnica muito estranha para adicionar funcionalidade extra a certos programas e “é muitas vezes desagradável quando injetada sem notificar o usuário primeiro”. Assim, Thejesh carregou a localização e outros detalhes do programa no GitHub, uma plataforma de colaboração na web para desenvolvedores, para alertar outros usuários.

A conspiração do caso decorre do objetivo da Flash Networks, que nunca discute em seus avisos. Na ordem de C&D, o que os advogados não mencionam é o que o Anchor.js possibilita para a Flash, bem como, e mais significativamente, para a rede Airtel. Quando Thejesh ou qualquer usuário suscetível, por assim dizer, visita uma página da web na rede 3G da Airtel, o Anchor.js carrega um popup de terceiros, como um anúncio, nessa página.

Quando o usuário visualiza ou interage com esse popup, quem fez esse popup ganha algum dinheiro. Neste caso, uma vez que a Flash Networks, a fonte do Anchor.js, está hospedada no endereço IP da Airtel, a implicação é que a Airtel está usando o Anchor.js para ganhar dinheiro para si mesma usando a experiência de navegação do usuário. Há também a ameaça adicional de que a Flash Networks use seu script não verificado para buscar dados do usuário.

No entanto, como Thejesh não tinha a intenção de uso comercial do Anchor.js (nem expôs código que já não fosse confidencial), é incerto como os direitos autorais da Flash foram infringidos. Pranesh Prakash, Diretor de Políticas do Centro para Internet e Sociedade, tuitou que, independentemente de como o Anchor.js prejudicou a experiência de Thejesh, seu ato de carregá-lo no GitHub estava protegido pela Seção 52(1)(ac) da Lei de Direitos Autorais da Índia de 1957.

Ela afirma que “o estudo ou teste do funcionamento do programa de computador a fim de determinar as ideias e princípios que subjazem a quaisquer elementos do programa ao realizar tais atos necessários para as funções para as quais o programa de computador foi fornecido.”

A intenção da Flash Networks sinaliza que o ISP está violando a neutralidade da rede porque um usuário na rede 3G da Airtel vê um site X de forma diferente de um usuário na, digamos, BSNL, por causa do ativo carregado pelo script injetado.

Recentemente, enquanto o debate sobre a neutralidade da rede estava aumentando na Índia após um polêmico documento de política da TRAI, o Airtel Zero estava no centro das atenções. Ele envolvia a Airtel sendo paga por, digamos, o Facebook para permitir que os usuários acessassem o Facebook gratuitamente nas redes da Airtel. O acordo desrespeitou a neutralidade da rede porque disfarçou o tratamento preferencial de pacotes de dados com base em suas fontes.

Sundaresan comentou que, caso tais instâncias duvidosas de injeção de JavaScript sejam descobertas no mundo ocidental, o inseridor poderia ser processado por milhões.

A Airtel desde então emitiu uma declaração sobre o assunto, afirmando que a injeção de JavaScript era uma maneira de acompanhar quanto de dados o assinante consumiu, para fins de faturamento, e a chamou de “solução padrão implantada por operadoras de telecomunicações globalmente”. Ao mesmo tempo, a declaração não explica por que a operação estava colocando anúncios nas páginas de destino do usuário.

Na verdade, a Airtel também se distanciou da ordem emitida pela Flash Networks para Thejesh: “Nós … afirmamos categoricamente que não temos relação alguma com o aviso.” Mesmo assim, que as duas empresas estão e têm estado associadas uma à outra é revelado por um dos comunicados de imprensa da Flash de 2014 que inclui Airtel e Vodafone entre seus clientes.

Se o envolvimento do ISP for mais convincentemente estabelecido, é provável que enfrente ações legais por violar a privacidade do usuário, já que o script também poderia ter sido injetado quando as pessoas visualizavam o site de Thejesh através da rede da Airtel, o ISP também é responsável por ter distorcido seu conteúdo para seu público.

Desde a divulgação de Thejesh, também surgiu que a Vodafone pode estar se envolvendo em inserções semelhantes de software de terceiros em navegadores.

Para aqueles que argumentam que os direitos autorais nunca são usados para censura: explique esta história. Claro, tudo parece estar se voltando contra eles de uma maneira grande. A Flash pode ter querido esconder o que estava fazendo, mas agora está recebendo muito, muito, muito mais atenção. Talvez, da próxima vez, em vez de ameaçar denunciantes de suas más práticas com alegações de infração criminal de direitos autorais, a Flash e a Airtel pensem mais sobre suas próprias práticas comerciais ruins que colocam os usuários em risco.