Дата: Понедельник, 22.06.2020, 16:04 | Сообщение # 1
Гадский Админ
Администрация
Сообщений: 2572
Статус: Offline
Ростелеком, крупнейший в РФ оператор широкополосного доступа, обслуживающий около 13 млн абонентов, без лишней огласки ввёл в строй систему подстановки своих рекламных баннеров в незашифрованный HTTP-трафик абонентов. Так как подставляемые в транзитный трафик JavaScript-блоки включали обфусцированный код и обращение к неаффилированным с Ростелекомом сомнительным сайтам (p.analytic.press, d.d1tracker.ru, dmd.digitaltarget.ru), вначале возникло подозрение на компрометацию оборудования провайдера и внедрение вредоносного ПО во внутридомовой маршрутизатор. Но после отправки претензии представители Ростелекома указали на то, что подстановка рекламы осуществляется в рамках действующего с 10 февраля сервиса показа баннерной рекламы абонентам.
Показ рекламы осуществляется через баннерную сеть mail.ru, а перемещения отслеживаются через d1tracker.ru (обработчик размещён в облаке Amazon). В коде также фигурируют обращения к домену analytic.press, который зарегистрирован в конце декабря. Как правило, отображается либо полноэкранная реклама, перекрывающее всё содержимое страницы, либо в верхнюю часть страниц добавляется баннер. В большинстве случаев размещаемые блоки выглядят как размещение назойливой рекламы самими сайтами и абонент не догадывается, что на деле реклама подставлена провайдером. Рекламируются всевозможные услуги сторонних компаний (не связанных с Ростелекомом), вплоть до продажи фонариков. Пример подставляемого кода можно изучить в данном архиве. Часть кода обфусцирована и загружается динамически, поэтому без детального анализа трудно судить, подставляют они только рекламу или выполняют какие-то иные действия на стороне клиентского браузера.
Через штатные интерфейсы личного кабинета не предусмотрена возможность отключения подстановки рекламы, но после написание претензии на странице заявок, сотрудники Ростелекома отключают подстановку рекламы для конкретных абонентов. Вопрос о том, касается подстановка только незашифрованного HTTP-трафика или компания также вклинивается и в HTTPS-трафик через подмену сертификатов остался без ответа. На сайте компании информация о начале модификации транзитного трафика клиентов не отражена.
Дата: Понедельник, 22.06.2020, 16:20 | Сообщение # 2
Гадский Админ
Администрация
Сообщений: 2572
Статус: Offline
Дополнение 1: После пометки заявки на прекращение модификации транзитного трафика выполненной, реклама некоторое время не всплывала, но сейчас стала появляться опять, т.е. механизм отключения подстановки рекламы для абонентов в Ростелеком не работает или через какое-то время подстановка включается опять.
Дополнение от 2 марта: Несмотря на отправку повторной заявки, спустя неделю подстановка рекламы так и не отключена. Служба поддержки не имеет каких-либо сведений о выполнении заявки и о том, кто её должен выполнить, а лишь предлагает повторно отправить заявку. Судя по всему, заявки отправляются в пустоту и без выполнения закрываются.
Более того, началась подстановка закреплённых баннеров, которые перекрывают нижнюю половину контента и остаются на месте при прокрутке страницы. Данные баннеры уже вполне можно рассматривать как вредоносную активность, так как они мешают просмотру страниц, не имеют кнопки закрытия (дополнение: кнопка закрытия появляется при наведении курсора на баннер, но не показывается по умолчанию, например, не видна на сенсорных экранах) и не позволяют полностью прочитать содержимое.
В тексте договора о предоставлении услуг связи (копия стр 1, стр 2) явно ничего не сказано про условия пропускания трафика, но указано, что все подобные вещи должны соответствовать Закону "О Связи". Сомнительно, что Закон "О Связи" разрешает изменять трафик в корыстных целях и подставлять данные третьих лиц, мешающие просмотру запрошенной информации.
Дополнение от 6 марта: 3 марта представители Ростелекома позвонили и сообщили, что отключение подстановки рекламы по требованию абонента налажено. Подстановки рекламы за последние три дня не замечено.
Из комментариев к статье
16.06.2020 - Ярославский филиал РТ. Недавно обнаружил эту гадость, подтверждаю наличие. Рекламу пока показать не успели, так что даже кляузы никуда особо не попишешь (какое-то там абстрактное "вмешательство в трафик" уж точно никого не колыхнёт). Но скрипты свои уже внедряют и они что-то там шуршат втихаря. Делают нервы моему NoScript, и вообще имел я в гробу запускать у себя непонятного назначения код каких-то безымянных Васянов, да ещё и деньги провайдеру за это платить. Противно до омерзения. А иначе не загрузишь оригинальных скриптов и получишь сломанный сайт.
Потыкал палочкой - в ответ на любой http запрос, оканчивающийся на ".js" подсовывают редирект 307 на свой скрипт с домена. Достаточно заменить ".js" на ".js?", и редиректа уже нет. Соответственно, сколотил простой костыль, позволяющий не видеть эту гадость.
15 мая 2020 Воронеж, модемный адсл вставил сплэш на Полный экран с рекламой ростелекома на сайте http, ахтунг, провайдер просится на слив!!!
Ростелеком стал последней каплей, которая перевесила все мои доводы в пользу того, что пользователь должен выбирать HTTP или HTTPS. Не знаю, официальная ли это позиция Ростелекома, происки ушлого сотрудника или взлом внутридомового маршрутизатора, но сегодня в ростелекомовском домашнем интернете в Тюмени через MITM начали подставлять левые баннеры рекламной сети mail.ru на все сайты, открываемые без шифрования. Запрос в поддержку остался без ответа. Подозреваю, что после внедрения новых DPI, которые теперь применяют блокировки роскомнадзора через вклинивание в трафик, возник соблазн добавлять свою рекламу. Ситуация не единичная, на форумах с начала года всплывают похожие жалобы. Бывает и особо извращённые замены родных скриптов github.com/uBlockOrigin/uAssets/issues/6900
На страницы поставляется скрипт, в которым упоминаются домены p.analytic.press, d.d1tracker.ru и dmd.digitaltarget.ru. Реклама показывается через штатный блок ad.mail.ru, который раскрывает полноэкранный баннер или вешает в самый верх большой баннер. Реклама связана с индентификатором data-ad-client="ad-565599" (mailru_ad_565599_1582092521238). Для желающих по изучать, что они подставляют сделал архив Доступно только для пользователей Там скрипты, добавленные в пустую страницу, состоящую из одной шапки и надписи Clean. Особенно интересны base*.js которые пытались запутать обфускацией.
Источник - opennet.ru
Камни не исполняют желаний. Их исполняем мы сами, четко следуя однажды выбранному пути. - майор Кальтер - Свинцовый закат
Приветствую тебя гость! Что-бы иметь более широкий доступ на сайте и скачивать файлы, советуем вам зарегистрироваться, или войти на сайт как пользователь это займет менее двух минут.Авторизация на сайте