Телекоммуникационный гигант Airtel якобы внедряет JavaScript в сеансы просмотра пользователей в Индии

Программист из Бангалора находит подозрительный код во время просмотра в сети 3G Airtel и получает угрозу о правонарушении

Частный телекоммуникационный оператор Airtel снова оказался под огнем критики, на этот раз от социального активиста. Компания, которая столкнулась с серьезной критикой по поводу нейтралитета сети, теперь сталкивается с обвинениями в нарушении конфиденциальности клиентов.

В посте в Twitter от 3 июня независимый технолог Thejesh G.N. из Бангалора заявил, что «Airtel 3G тихо внедряет JavaScript в ваш сеанс просмотра». Он также опубликовал скриншот кода на GitHub. Согласно посту г-на Thejesh на GitHub, IP-адрес, с которого был получен Java-код, принадлежал Bharti Airtel в Бангалоре.

Airtell 3G внедряет JavaScript в ваш сеанс просмотра https://t.co/QHPpSKinve — Thejesh GN (@thej) 3 июня 2015

The Wire.in сообщает, что краткая проверка показала, что код состоял из нескольких строк JavaScript, которые загружали ресурс, подобный рекламе, на веб-страницах, которые посещал Thejesh. Он назывался Anchor.js. Используя веб-трекер IP, он также смог выяснить, что код исходил с IP-адреса 223.224.131.144 – который принадлежал Bharti Airtel Limited.

Это все очень расплывчато. Но это только начало этой истории. 8 июня Thejesh получил самое абсурдное письмо с юридической угрозой от адвоката по имени Амит Мехта из юридической фирмы Solicis Lex. В письме утверждается, что он представляет израильскую компанию Flash Network, которая, по-видимому, отвечает за программное обеспечение для внедрения кода, и утверждает, что, просто раскрывая общественности, что Airtel делает эти внедрения, Thejesh совершил уголовное нарушение авторских прав в соответствии с Законом о информационных технологиях 2000 года.

9 июня за этим последовало уведомление о снятии (в соответствии с Законом о цифровом тысячелетии об авторском праве США), размещенное на GitHub. После этого файлы Thejesh стали недоступны, хотя кэшированная версия доступна здесь.

Итак, я получил письмо с требованием прекратить и воздержаться от раскрытия внедрения JS от крупного телекоммуникационного оператора за публикацию кода JS и скриншотов. Я, вероятно, удалю это 🙁 — Thejesh GN (@thej) 8 июня 2015

Вигнеш Сундарасан, разработчик из Оттавы, сказал, что внедрение JavaScript – это очень неудобная техника для добавления дополнительной функциональности к определенным программам и «это часто бывает неприятно, когда внедряется без предварительного уведомления пользователя». Таким образом, Thejesh загрузил местоположение и другие детали программы на GitHub, платформу для совместной работы в Интернете для разработчиков, чтобы предупредить других пользователей.

Заговор в этом деле проистекает из цели Flash Networks, о которой она никогда не говорит в своих уведомлениях. В их приказе о прекращении и воздержании адвокаты не упоминают, что Anchor.js позволяет Flash, а также, что более важно, сети Airtel. Когда Thejesh или любой другой уязвимый пользователь посещает веб-страницу в сети Airtel 3G, Anchor.js загружает всплывающее окно третьей стороны, например, рекламу, на этой странице.

Когда пользователь просматривает или взаимодействует с этим всплывающим окном, тот, кто создал это всплывающее окно, зарабатывает деньги. В данном случае, поскольку Flash Networks, источник Anchor.js, размещен на IP-адресе Airtel, подразумевается, что Airtel использует Anchor.js, чтобы зарабатывать деньги для себя, используя опыт просмотра пользователя. Существует также дополнительная угроза того, что Flash Networks использует свой непроверенный скрипт для поиска пользовательских данных.

Тем не менее, поскольку Thejesh не намеревался использовать Anchor.js в коммерческих целях (и не раскрывал код, который уже не был конфиденциальным), неясно, как были нарушены авторские права Flash. Пранеш Пракеш, директор по политике Центра интернета и общества, твитнул, что независимо от того, как Anchor.js повредил опыт Thejesh, его действие по загрузке его на GitHub было защищено разделом 52(1)(ac) Закона об авторском праве Индии 1957 года.

В нем говорится, что «изучение или тестирование функционирования компьютерной программы с целью определения идей и принципов, которые лежат в основе любых элементов программы, при выполнении таких действий, необходимых для функций, для которых была предоставлена компьютерная программа».

Намерение Flash Networks сигнализирует о том, что ISP нарушает нейтралитет сети, потому что пользователь в сети Airtel 3G видит веб-сайт X иначе, чем пользователь, скажем, BSNL, из-за ресурса, загруженного внедренным скриптом.

Недавно, в то время как дебаты о нейтралитете сети нарастали в Индии после спорного документа политики от TRAI, Airtel Zero оказался в центре событий. Это включало в себя то, что Airtel получал деньги от, скажем, Facebook, чтобы позволить пользователям бесплатно получать доступ к Facebook в сетях Airtel. Сделка нарушила нейтралитет сети, потому что скрывала предпочтительное отношение к пакетам данных в зависимости от их источников.

Сундарасан прокомментировал, что если бы такие сомнительные случаи внедрения JavaScript были обнаружены в западном мире, вставляющий мог бы быть подан в суд на миллионы.

С тех пор Airtel выпустил заявление по этому поводу, утверждая, что внедрение JavaScript было способом отслеживания того, сколько данных потребил абонент, для целей выставления счетов, и назвал это «стандартным решением, используемым телекоммуникационными компаниями по всему миру». В то же время заявление не объясняет, почему операция размещала рекламу на целевых веб-страницах пользователя.

На самом деле, Airtel также дистанцировался от приказа, выданного Flash Networks Thejesh: «Мы … категорически заявляем, что у нас нет никакого отношения к уведомлению». Тем не менее, то, что две компании связаны друг с другом, выдает один из пресс-релизов Flash 2014 года, в котором Airtel и Vodafone упоминаются среди его клиентов.

Если участие ISP будет более убедительно установлено, ему, вероятно, придется столкнуться с юридическими действиями за нарушение конфиденциальности пользователей, поскольку скрипт также мог быть внедрен, когда люди просматривали веб-сайт Thejesh через сеть Airtel, ISP также может быть ответственным за искажение его контента для его аудитории.

С тех пор, как раскрытие Thejesh стало известным, также стало известно, что Vodafone может также участвовать в аналогичных вставках стороннего программного обеспечения в браузеры.

Для тех, кто утверждает, что авторское право никогда не используется для цензуры: объясните эту историю. Конечно, все это, похоже, оборачивается против них. Flash, возможно, хотел скрыть свои действия, но теперь это привлекает гораздо больше внимания. Возможно, в следующий раз, вместо того чтобы угрожать разоблачителям своих плохих практик обвинениями в уголовном нарушении авторских прав, Flash и Airtel подумают больше о своих собственных плохих бизнес-практиках, которые ставят пользователей под угрозу.