Internet per UMTS: So fälschen deutsche Provider Webinhalte

Wenn Anwender im World Wide Web eine Seite abrufen, sollten sie eigentlich den Inhalt bekommen, den der Anbieter bereitstellt. Die Aufgabe eines Internetproviders ist es, IP-Pakete mit unmodifizierter Nutzlast, vom Absender zum Empfänger zu transportieren. Diese Voraussetzungen sollten eigentlich auch für Anbieter mobiler Serviceleistungen gelten.

Wer allerdings die mobilen Datendienste von T-Mobile oder Vodafone nutzt und dabei eine Webseite aufruft, muss sich einer Tatsache bewusst sein: Er bekommt nicht die Informationen übermittelt, die der Anbieter von seinem Server abschickt.

Dabei gehen die beiden Marktführer von mobilen Datendiensten so weit, dass sie in jede Webseite heimlich eigenen Javascript-Code einschleusen und ihn auf dem Rechner ihrer Kunden zur Ausführung bringen. Diese Technologie wird außer von T-Mobile und Vodafone hauptsächlich von Cyberkriminellen verwendet, die versuchen, auf dem Rechner des Benutzers Malware aller Art einzuschleusen.

Dass die beiden UMTS-Anbieter nahezu jede Webseite fälschen, lässt sich recht einfach nachweisen. Bild 1 zeigt eine einfache Webseite mit zwei Bildern, eins im JPG-Format und ein anderes im PNG-Format. Der zugehörige HTML-Code sieht wie folgt aus:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd">
<html><head>
<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
<title>ZDNetLabs.DarkTech.org</title>
</head>
<body>
<h1>ZDNetLabs.DarkTech.org</h1>
<p>Dies ist eine einfache Website mit zwei Bildern.</p>
<p>JPG:<br><img src="http://zdnetlabs.darktech.org/zdnet.jpg" title="Bild 1: Das ist das ZDNet-Logo als JPG-Datei."></p>
<p>PNG:<br><img src="http://zdnetlabs.darktech.org/zdnet.png" title="Bild 2: Das ist das ZDNet-Logo als PNG-Datei."></p>
</body>
</html>

Nutzt man einen Vodafone-UMTS-Zugang über den APN event.vodafone.de, um sich diese Seite mit dem Internet Explorer 8 anzusehen, so stellt man fest, dass sich der Inhalt verändert hat: Bild 2 zeigt, dass das JPG-Bild eine deutlich schlechtere Qualität bietet. Ein Blick in den HTML-Source-Code beweist, dass Vodafone nicht die Seite an den Benutzer übermittelt, die der Server geschickt hat:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd"><html><head><meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1"><title>ZDNetLabs.DarkTech.org</title> </head><body><h1>ZDNetLabs.DarkTech.org</h1><p>Dies ist eine einfache Website mit zwei Bildern.</p><p>JPG:<br><img src="http://1.1.1.3/bmi/zdnetlabs.darktech.org/zdnet.jpg" title="Bild 1: Das ist das ZDNet-Logo als JPG-Datei."></p><p>PNG:<br><img src="http://1.1.1.2/bmi/zdnetlabs.darktech.org/zdnet.png" title="Bild 2: Das ist das ZDNet-Logo als PNG-Datei."></p></body></html>

Vodafone fängt die Antwort des Webservers ab und schickt stattdessen eine eigene HTML-Datei. Dabei wird auch die IP-Adresse gefälscht. Die modifizierte Datei wird mit der IP-Adresse des Webservers gesendet, von der der Browser die Daten angefordert hat.

Zum einen entfernt Vodafone alle Zeilenumbrüche in der HTML-Datei, zum anderen tauscht es in allen IMG-Tags die Bild-URL durch eigene aus. Dabei verwendet Vodafone sogenannte Bogon-Adressen. Das sind IP-Adressen, die derzeit von der IANA nicht vergeben sind, aber laut Standard zum öffentlichen IP-Adressraum gehören.

Durch das Entfernen der Zeilenumbrüche ändert sich der im Browser dargestellte Inhalt nicht, dennoch wurde die Datei verändert und mit falschem Absender an den Empfänger übermittelt. Bei den ausgetauschten Bild-URLs handelt es sich im Fall der PNG-Datei um das Original-Bild. Das JPG-Bild wird bewusst verändert, um ein paar Byte Bandbreite zu sparen.

Wer auf die Bildeigenschaften klickt, um beispielsweise einen Link per E-Mail zu verschicken, wird eine falsche URL kopieren, die der Empfänger nicht nutzen kann. Es kommt zwangsläufig zu Problemen.