Internet per UMTS: So fälschen deutsche Provider Webinhalte

(http://www.zdnet.de/magazin/41515603/internet-per-umts-so-faelschen-deutsche-provider-webinhalte.htm)

von Christoph H. Hochstätter, 14. Oktober 2009

Wer sich mit T-Mobile oder Vodafone per UMTS im World Wide Web bewegt, bekommt oft vom Provider modifizierte Inhalte untergeschoben. ZDNet zeigt, dass die Zugangsanbieter sogar Javascript-Code in die Webseiten einschmuggeln.

Wenn Anwender im World Wide Web eine Seite abrufen, sollten sie eigentlich den Inhalt bekommen, den der Anbieter bereitstellt. Die Aufgabe eines Internetproviders ist es, IP-Pakete mit unmodifizierter Nutzlast, vom Absender zum Empfänger zu transportieren. Diese Voraussetzungen sollten eigentlich auch für Anbieter mobiler Serviceleistungen gelten.

Wer allerdings die mobilen Datendienste von T-Mobile oder Vodafone nutzt und dabei eine Webseite aufruft, muss sich einer Tatsache bewusst sein: Er bekommt nicht die Informationen übermittelt, die der Anbieter von seinem Server abschickt.

Dabei gehen die beiden Marktführer von mobilen Datendiensten so weit, dass sie in jede Webseite heimlich eigenen Javascript-Code einschleusen und ihn auf dem Rechner ihrer Kunden zur Ausführung bringen. Diese Technologie wird außer von T-Mobile und Vodafone hauptsächlich von Cyberkriminellen verwendet, die versuchen, auf dem Rechner des Benutzers Malware aller Art einzuschleusen.

Dass die beiden UMTS-Anbieter nahezu jede Webseite fälschen, lässt sich recht einfach nachweisen. Bild 1[1] zeigt eine einfache Webseite mit zwei Bildern, eins im JPG-Format und ein anderes im PNG-Format. Der zugehörige HTML-Code sieht wie folgt aus:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd">
<html><head>
<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
<title>ZDNetLabs.DarkTech.org</title>
</head>
  <body>
    <h1>ZDNetLabs.DarkTech.org</h1>
    <p>Dies ist eine einfache Website mit zwei Bildern.</p>
    <p>JPG:<br><img src="http://zdnetlabs.darktech.org/zdnet.jpg" title="Bild 1: Das ist das ZDNet-Logo als JPG-Datei."></p>
    <p>PNG:<br><img src="http://zdnetlabs.darktech.org/zdnet.png" title="Bild 2: Das ist das ZDNet-Logo als PNG-Datei."></p>
  </body>
</html>

Nutzt man einen Vodafone-UMTS-Zugang über den APN[2] event.vodafone.de, um sich diese Seite mit dem Internet Explorer 8 anzusehen, so stellt man fest, dass sich der Inhalt verändert hat: Bild 2[3] zeigt, dass das JPG-Bild eine deutlich schlechtere Qualität bietet. Ein Blick in den HTML-Source-Code beweist, dass Vodafone nicht die Seite an den Benutzer übermittelt, die der Server geschickt hat:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd"><html><head><meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1"><title>ZDNetLabs.DarkTech.org</title> </head><body><h1>ZDNetLabs.DarkTech.org</h1><p>Dies ist eine einfache Website mit zwei Bildern.</p><p>JPG:<br><img src="http://1.1.1.3/bmi/zdnetlabs.darktech.org/zdnet.jpg" title="Bild 1: Das ist das ZDNet-Logo als JPG-Datei."></p><p>PNG:<br><img src="http://1.1.1.2/bmi/zdnetlabs.darktech.org/zdnet.png" title="Bild 2: Das ist das ZDNet-Logo als PNG-Datei."></p></body></html>

Vodafone fängt die Antwort des Webservers ab und schickt stattdessen eine eigene HTML-Datei. Dabei wird auch die IP-Adresse gefälscht. Die modifizierte Datei wird mit der IP-Adresse des Webservers gesendet, von der der Browser die Daten angefordert hat.

Zum einen entfernt Vodafone alle Zeilenumbrüche in der HTML-Datei, zum anderen tauscht es in allen IMG-Tags die Bild-URL durch eigene aus. Dabei verwendet Vodafone sogenannte Bogon-Adressen[4]. Das sind IP-Adressen, die derzeit von der IANA[5] nicht vergeben sind, aber laut Standard zum öffentlichen IP-Adressraum gehören.

Durch das Entfernen der Zeilenumbrüche ändert sich der im Browser dargestellte Inhalt nicht, dennoch wurde die Datei verändert und mit falschem Absender an den Empfänger übermittelt. Bei den ausgetauschten Bild-URLs handelt es sich im Fall der PNG-Datei um das Original-Bild. Das JPG-Bild wird bewusst verändert, um ein paar Byte Bandbreite zu sparen.

Wer auf die Bildeigenschaften klickt, um beispielsweise einen Link per E-Mail zu verschicken, wird eine falsche URL kopieren, die der Empfänger nicht nutzen kann. Es kommt zwangsläufig zu Problemen.

Bildergalerie

So sieht eine einfache Website mit zwei Bildern aus.
Mit dem Internet-Explorer über das UMTS-Netz von Vodafone betrachtet, erkennt man eine deutliche Reduktion der Bildqualität. Es gibt keine Möglichkeit, auch nicht bei HSPA, an das Originalbild zu kommen.
Mit Firefox geht Vodafone noch einen Schritt weiter. Der Tooltip wird durch ein ungefragt eingeschmuggeltes Javascript-Programm ausgetauscht. Immerhin kommt man so an das Original-Bild.
Unter www.speed.t-mobile.de kann man aus dem T-Mobile-Netz eine Konfigurationsseite erreichen, in der man die Fälschungen angeblich ausschalten kann. Der ZDNet-Test beweist jedoch das Gegenteil.

So fälschen Vodafone und T-Mobile Webinhalte[6]

» zur Bildergalerie ...[6]
Wenn Vodafone entdeckt, dass ein Nutzer Firefox verwendet, bekommt er ungefragt Javascript-Code auf die Webseite geschmuggelt, der auf seinem Rechner ausgeführt wird. Der HTML-Code sieht in diesem Fall wie folgt aus:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd"><html><head><meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1"><script src="http://1.2.3.4/bmi-int-js/bmi.js" language="javascript"></script><title>ZDNetLabs.DarkTech.org</title> </head><body><h1>ZDNetLabs.DarkTech.org</h1><p>Dies ist eine einfache Website mit zwei Bildern.</p><p>JPG:<br><img src="http://1.1.1.3/bmi/zdnetlabs.darktech.org/zdnet.jpg" title="Bild 1: Das ist das ZDNet-Logo als JPG-Datei."></p><p>PNG:<br><img src="http://1.1.1.2/bmi/zdnetlabs.darktech.org/zdnet.png" title="Bild 2: Das ist das ZDNet-Logo als PNG-Datei."></p></body></html><script language="javascript"><!-- bmi_SafeAddOnload(bmi_load,"bmi_orig_img",1);//--> </script>

Dieser Javascript-Code führt dazu, dass Firefox eine weitere Datei mit Javascript-Code herunterlädt, die ZDNet unter dem Namen bmi.js.vodafone.txt[7] zum Download bereithält. Die Umbenennung soll verhindern, dass der Code versehentlich ausgeführt wird.

Der Javascript-Code nimmt weitere Inhaltsveränderungen an der Webseite vor. Die Bilder sind mit dem Attribut title mit einem Tooltip versehen, der angezeigt wird, wenn der Benutzer den Mauszeiger über das Bild bewegt, siehe Bild 1[1] und Bild 2[3]. Das Skript bewirkt, dass dem Benutzer ein anderer Text angezeigt wird, siehe Bild 3[8].

Ein solches Verhalten eines Internetproviders ist nicht hinnehmbar und verstößt gegen das Fernmeldegeheimnis. Ein Briefzustelldienst wie die Deutsche Post darf auch nicht jeden Brief öffnen und alle handgeschriebene Briefe durch maschinengeschriebene gleichen Inhalts ersetzen.

Verwerflich ist dabei schon das Öffnen des Umschlags und nicht erst der Austausch des Inhalts. Allein die Tatsache, dass Vodafone keine TCP-Verbindung zum Webserver zulässt, mit dem der Anwender kommunizieren möchte, sondern selbst vorgibt dieser Webserver zu sein, hat mit einem Internetzugang nichts mehr zu tun.

Generell muss man sich im Zeitalter von UMTS und HSPA, das im Bereich von DSL-Geschwindigkeiten liegt, fragen, ob eine Bildkompression überhaupt noch sinnvoll ist. Ein Zwangsproxy mittels Deep Packet Inspection[9], der keinen TCP-Zugang zu einem Webserver erlaubt und übertragene Daten systematisch fälscht, ist jedenfalls durch nichts zu rechtfertigen.

Die Kompression von Bildern ist bei niedriger Bandbreite nicht grundsätzlich zu verurteilen. Allerdings darf sie nicht zwangsweise vom Provider durch Fälschen von Webseiten erfolgen. Ist die Kompression freiwillig, handelt der Zugangsanbieter im Auftrag und mit Zustimmung des Kunden. Dieses Versprechen gibt T-Mobile bei seinem UMTS-Zugang.

ZDNet-Tests zeigen jedoch, dass das Unternehmen seine Kunden täuscht. T-Mobile bietet unter der URL http://www.speed.t-mobile.de (nur aus dem T-Mobile-Netz erreichbar) eine Konfigurationsseite an, auf der der Kunde Einstellungen zur Bildkompression vornehmen kann, siehe Bild 4[10].

Eine TCP-Verbindung zum Webserver bekommt der Anwender jedoch auch im Netz des Ex-Monopolisten nicht. Bei der Einstellung "Speedmanager aus" zeigt sich folgender HTML-Code:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd">
<html><head>
<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
<title>ZDNetLabs.DarkTech.org</title>
</head>
  <body>
    <h1>ZDNetLabs.DarkTech.org</h1>
    <p>Dies ist eine einfache Website mit zwei Bildern.</p>
    <p>JPG:<br><img src="http://1.2.3.11/bmi/zdnetlabs.darktech.org/zdnet.jpg" title="Bild 1: Das ist das ZDNet-Logo als JPG-Datei."></p>
    <p>PNG:<br><img src="http://1.2.3.10/bmi/zdnetlabs.darktech.org/zdnet.png" title="Bild 2: Das ist das ZDNet-Logo als PNG-Datei."></p>
  </body>
</html>

Das zeigt, dass die per HTTP übertragene Datei eindeutig nicht vom Webserver stammt. Auch sie wird von T-Mobile aus echten und gefälschten Inhalten zusammengestellt. Wie bei Vodafone schiebt T-Mobile dem Benutzer eine gefälschte Datei mit der Absender-IP-Adresse des Webservers unter.

HTTP ist ein Übertragungsprotokoll für Dateien und nicht etwa eine Darstellungsvorschrift für Browser. Daher muss es möglich sein, jede Datei völlig unmodifiziert übertragen zu können. Die Dateien liegen entweder statisch auf einem Webserver oder werden erst bei Aufruf der URL dynamisch generiert. Dass Vodafone und T-Mobile ohne Zustimmung des Benutzers bis in die Ebene 7[11] des OSI-Schichtenmodells[12] eingreifen, ist nicht hinnehmbar.

Viele Internet-APIs sind via HTTP realisiert. Durch den Einsatz von Zwangsproxies mit DPI-Technologie ist weder sichergestellt, dass ein Request den Webserver erreicht, noch dass eine Antwort korrekt ausgewertet werden kann.

Der Benutzer hat überhaupt keine Möglichkeit, direkt per TCP und HTTP mit einem Webserver zu kommunizieren. Inhalte werden ungefragt gefälscht. T-Mobile bietet zwar eine Konfigurationsseite an, die dem Anwender angeblich ermöglicht, mit oder ohne Speedmanager zu surfen, jedoch bekommt der Kunde auch bei "ausgeschaltetem" Speedmanager keine Verbindung zum Webserver, sondern wird von T-Mobile mit einer gefälschten Seite versorgt.

Das Argument, man müsse die knappe Bandbreite im UMTS-Netz "optimieren", kann nicht gelten. Schließlich benötigt T-Mobile mit "deaktiviertem" Speedmanager im UMTS-Netz dieselbe Bandbreite, wie es bei einer Direktübertragung von Webseite und Bildern an den Kunden der Fall wäre. Der einzige Effekt, den man damit erzielen kann, ist der, dass Bilddateien, die sich häufig ändern, etwa Realtime-Aktienkurscharts, nicht in der aktuellen Version an den Benutzer übermittelt werden.

Gänzlich sinnlos ist die Fälschung von PNG-Dateien. PNG ist ein Format mit verlustfreier Kompression. Das heißt, weder Vodafone noch T-Mobile erzielen mit den Fälschungen eine Reduktion der Bandbreite. Dazu könnten sie höchstens PNG-Bilder in ein Format mit Qualitätsverlust wie JPG wandeln und dem Benutzer unterschieben. Dabei ist jedoch problematisch, dass das PNG-Format im Gegensatz zum JPG-Format Transparenz unterstützt, die durch die Konvertierung verloren ginge.

Die einzige legitime Möglichkeit dem Benutzer bei langsamen GPRS- oder EDGE-Verbindungen einen schnelleren Seitenaufbau bei Reduktion der Bildqualität anzubieten, wäre eine Konfigurationsseite auf einem Serviceportal, die eine echte Konfiguration erlaubt. Wählt der Benutzer aus, dass er keine Kompression wünscht, darf ihm der echte TCP-Zugang zum Webserver nicht verwehrt werden.

Dass das durchaus möglich ist, zeigen die UMTS-Provider O2 und E-Plus. Deren Netze funktionieren technisch einwandfrei, ohne dass der Internetverkehr gefälscht wird. T-Mobile und Vodafone hingegen missachten das Fernmeldegeheimnis systematisch.

Hier sind Gesetzgeber und Regulierungsbehörde gefordert, einzugreifen. Funkfrequenzen sind ein knappes öffentliches Gut. Man darf sie nicht in die Hände von Unternehmen legen, die nach Gutdünken selbst entscheiden, was sie ihren Kunden übermitteln und was nicht. Das Netz muss sich als Transportmedium neutral verhalten. Es muss sichergestellt sein, dass alle IP-Pakete in der Nutzlast unverändert beim Empfänger ankommen, es sei denn, der Kunde wünscht es ausdrücklich anders.

Wie jedoch das Internetzensurgesetz[13] zeigt, denkt der Gesetzgeber überhaupt nicht daran, dem Treiben der Internetanbieter Einhalt zu gebieten. Stattdessen schmiedet man eine Allianz, die der Regierung erlaubt, das Netz zu zensieren und den Providern gestattet, nicht nur Webinhalte zu fälschen, sondern unliebsame Dienste in den AGBs zu verbieten und technisch zu behindern - allen voran VoIP und Instant Messaging als preiswerte Konkurrenz zu Telefonie und SMS.

Diesen Bestrebungen gilt es, einen Riegel vorzuschieben. Einen Internetprovider geht es schlicht und einfach nichts an, welche Inhalte in der Nutzlast von IP-Paketen übertragen werden. Jeglicher Einsatz von DPI-Technologie ohne ausdrücklichen Kundenwusch gehört geächtet und verboten. Von der Entwicklung neuer Anwendungen im Internet hängt der Fortschritt in der Gesellschaft entscheidend ab. Die Zugangsprovider müssen sich an Neutralitätsregeln halten.

Ganz anders verläuft die Entwicklung derzeit in den USA. Auch dort wehren sich die Provider vehement gegen Netzneutralität. Präsident Barack Obama hat jedoch mit Julius Genachowski[14] einen FCC-Chef eingesetzt, der die Netzneutralität im Interesse der Konsumenten unbedingt durchsetzen[15] will.

An dieser Vorgehensweise sollte sich die Bundesregierung ein Beispiel nehmen. Die Chancen dazu sind jedoch beim derzeitigen Zensur- und Sperrwahn von Politikern der ehemaligen Volksparteien CDU/CSU und SPD sehr gering. Sie glauben ernsthaft, ihre dauerhaft sinkenden Wahlergebnisse dadurch verbessern zu können, indem sie die Kontrolle über das Internet und seine Inhalte bekommen.

URLs in diesem Artikel:
[1] = http://www.zdnet.de/bildergalerien_so_faelschen_vodafone_und_t_mobile_webinhalte_story-39002384-41515712-1.htm#g
[2] = http://de.wikipedia.org/wiki/Access_Point_Name
[3] = http://www.zdnet.de/bildergalerien_so_faelschen_vodafone_und_t_mobile_webinhalte_story-39002384-41515712-2.htm#g
[4] = http://de.wikipedia.org/wiki/Bogon
[5] = http://www.iana.org/
[6] = http://www.zdnet.de/galerie/41515712/so-faelschen-vodafone-und-t-mobile-webinhalte.htm#sid=41515603
[7] = http://www.zdnet.de/i/sec/2009/10/faelschungen/bmi.js.vodafone.txt
[8] = http://www.zdnet.de/bildergalerien_so_faelschen_vodafone_und_t_mobile_webinhalte_story-39002384-41515712-3.htm#g
[9] = http://www.zdnet.de/sicherheits_analysen_lauschangriff_dpi_so_hoeren_die_provider_ihre_kunden_ab_story-39001544-41001975-1.htm
[10] = http://www.zdnet.de/bildergalerien_so_faelschen_vodafone_und_t_mobile_webinhalte_story-39002384-41515712-4.htm#g
[11] = http://de.wikipedia.org/wiki/OSI-Modell#Schicht_7_.E2.80.93_Anwendungsschicht
[12] = http://de.wikipedia.org/wiki/OSI-Modell
[13] = http://www.zdnet.de/sicherheits_analysen_zensurgesetz_beschlossen_aus_fuer_das_freie_internet_story-39001544-41005288-1.htm
[14] = http://en.wikipedia.org/wiki/Julius_Genachowski
[15] = http://www.zdnet.de/news/wirtschaft_telekommunikation_us_telekommunikationsaufsicht_will_netzneutralitaet_durchsetzen_story-39001023-41502973-1.htm
Copyright (c) 2012 NetMediaInteractive GmbH. Alle Rechte vorbehalten.