Internet per UMTS: So fälschen deutsche Provider Webinhalte

Wenn Anwender im World Wide Web eine Seite abrufen, sollten sie eigentlich den Inhalt bekommen, den der Anbieter bereitstellt. Die Aufgabe eines Internetproviders ist es, IP-Pakete mit unmodifizierter Nutzlast, vom Absender zum Empfänger zu transportieren. Diese Voraussetzungen sollten eigentlich auch für Anbieter mobiler Serviceleistungen gelten.

Wer allerdings die mobilen Datendienste von T-Mobile oder Vodafone nutzt und dabei eine Webseite aufruft, muss sich einer Tatsache bewusst sein: Er bekommt nicht die Informationen übermittelt, die der Anbieter von seinem Server abschickt.

Dabei gehen die beiden Marktführer von mobilen Datendiensten so weit, dass sie in jede Webseite heimlich eigenen Javascript-Code einschleusen und ihn auf dem Rechner ihrer Kunden zur Ausführung bringen. Diese Technologie wird außer von T-Mobile und Vodafone hauptsächlich von Cyberkriminellen verwendet, die versuchen, auf dem Rechner des Benutzers Malware aller Art einzuschleusen.

Dass die beiden UMTS-Anbieter nahezu jede Webseite fälschen, lässt sich recht einfach nachweisen. Bild 1 zeigt eine einfache Webseite mit zwei Bildern, eins im JPG-Format und ein anderes im PNG-Format. Der zugehörige HTML-Code sieht wie folgt aus:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd">
<html><head>
<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
<title>ZDNetLabs.DarkTech.org</title>
</head>
<body>
<h1>ZDNetLabs.DarkTech.org</h1>
<p>Dies ist eine einfache Website mit zwei Bildern.</p>
<p>JPG:<br><img src="http://zdnetlabs.darktech.org/zdnet.jpg" title="Bild 1: Das ist das ZDNet-Logo als JPG-Datei."></p>
<p>PNG:<br><img src="http://zdnetlabs.darktech.org/zdnet.png" title="Bild 2: Das ist das ZDNet-Logo als PNG-Datei."></p>
</body>
</html>

Nutzt man einen Vodafone-UMTS-Zugang über den APN event.vodafone.de, um sich diese Seite mit dem Internet Explorer 8 anzusehen, so stellt man fest, dass sich der Inhalt verändert hat: Bild 2 zeigt, dass das JPG-Bild eine deutlich schlechtere Qualität bietet. Ein Blick in den HTML-Source-Code beweist, dass Vodafone nicht die Seite an den Benutzer übermittelt, die der Server geschickt hat:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd"><html><head><meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1"><title>ZDNetLabs.DarkTech.org</title> </head><body><h1>ZDNetLabs.DarkTech.org</h1><p>Dies ist eine einfache Website mit zwei Bildern.</p><p>JPG:<br><img src="http://1.1.1.3/bmi/zdnetlabs.darktech.org/zdnet.jpg" title="Bild 1: Das ist das ZDNet-Logo als JPG-Datei."></p><p>PNG:<br><img src="http://1.1.1.2/bmi/zdnetlabs.darktech.org/zdnet.png" title="Bild 2: Das ist das ZDNet-Logo als PNG-Datei."></p></body></html>

Vodafone fängt die Antwort des Webservers ab und schickt stattdessen eine eigene HTML-Datei. Dabei wird auch die IP-Adresse gefälscht. Die modifizierte Datei wird mit der IP-Adresse des Webservers gesendet, von der der Browser die Daten angefordert hat.

Zum einen entfernt Vodafone alle Zeilenumbrüche in der HTML-Datei, zum anderen tauscht es in allen IMG-Tags die Bild-URL durch eigene aus. Dabei verwendet Vodafone sogenannte Bogon-Adressen. Das sind IP-Adressen, die derzeit von der IANA nicht vergeben sind, aber laut Standard zum öffentlichen IP-Adressraum gehören.

Durch das Entfernen der Zeilenumbrüche ändert sich der im Browser dargestellte Inhalt nicht, dennoch wurde die Datei verändert und mit falschem Absender an den Empfänger übermittelt. Bei den ausgetauschten Bild-URLs handelt es sich im Fall der PNG-Datei um das Original-Bild. Das JPG-Bild wird bewusst verändert, um ein paar Byte Bandbreite zu sparen.

Wer auf die Bildeigenschaften klickt, um beispielsweise einen Link per E-Mail zu verschicken, wird eine falsche URL kopieren, die der Empfänger nicht nutzen kann. Es kommt zwangsläufig zu Problemen.

Page: 1 2 3 4 5

ZDNet.de Redaktion

Recent Posts

Konsolidierte und strukturierte Daten für medizinische Versorgung

Telekom und vitagroup stellen Kliniken offene Plattform zur Verfügung, die Gesundheitsdaten unabhängig von einzelnen Herstellern…

2 Stunden ago

Zahl der Webauftritte sinkt wieder

Auch 2023 war kein gutes Jahr für die Hoster von KMU-Webseiten. Erneut schlossen viele Mittelständler…

2 Stunden ago

Pwn2Own: Google verteilt Sicherheitsupdate für Chrome

Es schließt zwei schwerwiegende Lücken, die eine Remotecodeausführung erlauben. Darüber hinaus stopft Google ein kritisches…

1 Tag ago

IT-Verzicht fürs Klima – wie viele sind dazu bereit?

Der Digitalverband Bitkom hat 1.000 Deutsche danach befragt, auf welche Angebote sie aus Gründen des…

1 Tag ago

BSI warnt Microsoft-Exchange-Nutzer

Laut Bundesamt sind mindestens 17.000 Instanzen in Deutschland durch eine oder mehrere kritische Schwachstellen verwundbar.

1 Tag ago

Apple kündigt Entwicklerkonferenz WWDC 2024 für 10. Juni an

Die Veranstaltung startet wie in jedem Jahr mit einer Keynote. Apple verspricht Neuerungen für alle…

1 Tag ago