L'economia del portale captive: come le pagine di accesso WiFi degli hotel sono diventate sia un vettore di sicurezza che un canale pubblicitario nascosto

L'economia del portale captive: come le pagine di accesso WiFi degli hotel sono diventate sia un vettore di sicurezza che un canale pubblicitario nascosto

      TL;DRI portali captive WiFi degli hotel sono diventati silenziosamente sia una superficie di attacco alla sicurezza (pagine solo HTTP, dirottamento DNS, reti rogue) sia un canale pubblicitario programmatico che raccoglie dati di prima parte. La maggior parte dei client VPN fallisce nel passaggio. KeepSolid ha integrato un Controllore di Rete per Portali Captive in VPN Unlimited per rilevare e riconnettersi automaticamente.

      Il mese scorso ho fatto il check-in in un hotel per una conferenza. Laptop aperto. Clicca su WiFi. Rete dell'hotel. Appare la schermata di benvenuto familiare: inserisci il numero della tua camera, il tuo cognome, accetta i termini. Standard.

      Ciò che non è più standard è ciò che sta girando dietro quella schermata di benvenuto.

      Il portale captive, quella pagina di accesso che vedi prima di poter effettivamente utilizzare il WiFi di un hotel o di un aeroporto, è evoluto silenziosamente in due industrie parallele contemporaneamente. Una è una superficie di attacco alla sicurezza. L'altra è un canale pubblicitario programmatico che vale soldi veri. Condividono l'infrastruttura. La maggior parte dei viaggiatori non vede chiaramente nessuno dei due lati. La maggior parte dei fornitori di VPN non lo fa nemmeno.

      La realtà tecnica

      Il 💜 della tecnologia dell'UELe ultime novità dalla scena tecnologica dell'UE, una storia dal nostro saggio fondatore Boris e alcune opere d'arte AI discutibili. È gratuito, ogni settimana, nella tua casella di posta. Iscriviti ora!Un portale captive funziona intercettando le richieste HTTP dal tuo dispositivo prima che tu ti sia autenticato sulla rete. Non puoi bypassarlo come faresti con qualsiasi altra cosa, la rete stessa costringe ogni richiesta attraverso un reindirizzamento fino a quando non completi il rituale richiesto dal portale. Inserisci un numero di camera. Accetta i termini. A volte paga. A volte guarda un annuncio video di quindici secondi. A volte fornisci un indirizzo email che viene venduto a valle a una piattaforma di marketing.

      Questo funziona perché il tuo dispositivo deve effettuare una richiesta HTTP non crittografata a un URL di test noto solo per rilevare se l'accesso a Internet è reale. Apple utilizza captive apple com. Microsoft utilizza www msftconnecttest com. Google utilizza connectivitycheck gstatic com. Il sistema operativo sta essenzialmente chiedendo alla rete «sono davvero online?», e il portale captive risponde intercettando quella richiesta e reindirizzando alla sua pagina di benvenuto. È un comportamento di protocollo progettato, non un bug.

      È anche il motivo per cui la tua VPN non può aiutarti qui. Quando hai avviato un client VPN, il test di connettività a livello di sistema operativo ha già rivelato il tuo dispositivo e attivato il reindirizzamento del portale. La VPN non può connettersi perché la rete non la lascerà passare fino a quando non ti sei autenticato al portale. Quindi disattivi la VPN. Clicca attraverso la schermata di benvenuto. Dimentica di riattivare la VPN. Naviga il resto del tuo viaggio esposto.

      Questo è il divario che abbiamo cercato di colmare quando abbiamo integrato la gestione dei portali captive in VPN Unlimited. La maggior parte dei client VPN non lo chiude ancora in modo pulito.

      Ciò che gira su quel portale captive non è sempre ciò che pensi.

      La maggior parte delle grandi catene alberghiere non gestisce la propria infrastruttura WiFi. Contrattano con aziende come Boingo, Aptilo Networks o Cloud4Wi. Queste sono aziende reali con prodotti reali e impostazioni di sicurezza ragionevoli. Ma la qualità del rollout varia drammaticamente tra le proprietà, e uno standard di marca a livello di catena non si estende sempre all'implementazione del portale captive in una specifica proprietà in franchising in un paese specifico.

      I fallimenti di sicurezza rientrano in alcune categorie. La più comune è quella dei portali solo HTTP, la pagina di benvenuto stessa non applica TLS, quindi le credenziali che inserisci (numero della camera, cognome, a volte dettagli della carta di credito per i livelli premium) attraversano la rete locale in chiaro. La seconda è il dirottamento DNS, il portale captive costringe tutte le tue query DNS attraverso il loro risolutore, il che dà all'operatore del portale visibilità su ogni dominio che interroghi per la durata della tua sessione, indipendentemente da ciò che il tuo dispositivo pensa siano le sue impostazioni DNS. La terza, meno comune ma ben documentata nelle conferenze sulla sicurezza, è il portale attivamente malevolo, un dispositivo rogue che impersona la rete dell'hotel, serve la propria schermata di benvenuto, raccogliendo qualsiasi credenziale che l'utente digita prima di collegarlo alla rete reale in modo che non noti mai che qualcosa non va.

      Non hai bisogno di essere in un ambiente ad alto rischio affinché tutto ciò accada. Devi essere in un hotel.

      Il lato pubblicitario

      Ecco la parte a cui la maggior parte dei viaggiatori non pensa: quella schermata di benvenuto è anche un pezzo di inventario pubblicitario premium.

      Il mercato per le «piattaforme di marketing WiFi» è una categoria reale e in crescita. Le aziende in questo segmento, Cloud4Wi è una delle più visibili, propongono i loro prodotti a hotel, aeroporti, rivenditori e stadi come un modo per monetizzare i secondi e i minuti che gli ospiti trascorrono al portale captive. L'offerta generale in questo segmento va più o meno così: ogni ospite che si connette al tuo WiFi è un pubblico captive per un annuncio video di quindici secondi, un rapido sondaggio, una cattura di email o un'offerta sponsorizzata. Il luogo raccoglie dati di prima parte. A seconda di come è configurata la piattaforma e quali relazioni di partner sono in atto, quei dati possono essere condivisi con reti di marketing o utilizzati per il retargeting a valle dopo che l'ospite se ne va.

      L'economia funziona per il luogo. Il WiFi è altrimenti un costo puro. Aggiungere uno strato pubblicitario programmatico lo trasforma in una fonte di entrate marginale, specialmente in luoghi ad alto traffico. L'economia funziona anche per gli inserzionisti, perché il pubblico è insolitamente ben mirato (sai che sono in questo aeroporto, in questo hotel, in questo specifico luogo) e prevedibilmente attento (non possono letteralmente fare nient'altro online fino a quando non accettano il portale).

      Nessuna di queste cose è illegale. Non è nemmeno sempre divulgata in un modo che il viaggiatore medio noterebbe. Il pulsante «accetta i termini» su cui clicchi in fretta spesso include il consenso alle comunicazioni di marketing, alla condivisione dei dati con la rete di partner dell'operatore WiFi e a volte il tracciamento della posizione per la durata del tuo soggiorno. La maggior parte delle persone non legge i termini. I portali sono progettati con l'assunzione che non lo faranno.

      Dove le due industrie si scontrano

      La cosa che trovo interessante in questa convergenza è che la stessa infrastruttura del portale captive che viene commercializzata per la pubblicità è anche il punto debole strutturale della sicurezza. L'operatore del portale ha visibilità sul tuo dispositivo, sulle tue query di dominio, spesso sulle tue credenziali di autenticazione. Hanno anche un incentivo commerciale a tenerti più a lungo sul portale (più impressioni) e a identificarti attraverso le sessioni (miglior profilo per la vendita dei dati).

      Per un viaggiatore consapevole della sicurezza, il portale captive è sia un punto di attrito, la cosa che rompe la tua VPN, sia una perdita di privacy, la cosa che ti profila mentre la tua VPN è spenta. Questi non sono problemi separati. Sono lo stesso problema visto da due angolazioni, e sono stati entrambi creati dalla stessa scelta di design sottostante: che il sistema operativo deve comunicare con la rete locale in chiaro prima di poter stabilire una connessione sicura.

      Cosa abbiamo costruito e perché ci è voluto più tempo del previsto

      In KeepSolid abbiamo infine lanciato una funzionalità in VPN Unlimited specificamente per chiudere questo cerchio. L'abbiamo chiamata Controllore di Rete per Portali Captive. L'idea di base è semplice. Quando il client rileva che è dietro un portale captive, invece di fallire silenziosamente o costringere l'utente a disabilitare manualmente la VPN, l'app visualizza il portale, consente all'utente di completare qualsiasi autenticazione richiesta dalla rete, quindi riconnette automaticamente la VPN. L'utente non deve mai ricordarsi di riattiv

Altri articoli

TikTok risolve il secondo caso di dipendenza, lasciando Meta e Snap a fronteggiare da soli una giuria. TikTok risolve il secondo caso di dipendenza, lasciando Meta e Snap a fronteggiare da soli una giuria. TikTok ha raggiunto un accordo riservato con un adolescente della Florida prima di un processo di luglio, seguendo YouTube nel secondo caso campione di dipendenza. Recensione di Onyx Boox Note Max: Un anno dopo, amo questo enorme e-reader che pensa di essere un laptop, ma semplicemente non lo è. Recensione di Onyx Boox Note Max: Un anno dopo, amo questo enorme e-reader che pensa di essere un laptop, ma semplicemente non lo è. L'Onyx Boox Max Note è una straordinaria tavoletta simile alla carta con molta versatilità. Ma il suo più grande successo si trasforma anche nella sua debolezza principale. Apple Creator Studio aggiunge strumenti AI in Final Cut Pro, Logic Pro e Pixelmator Pro Apple Creator Studio aggiunge strumenti AI in Final Cut Pro, Logic Pro e Pixelmator Pro Apple Creator Studio ha ricevuto un importante aggiornamento dell'IA, aggiungendo sottotitoli automatici, rilevamento delle modifiche, Auto Mask, generazione di immagini e flussi di lavoro più stretti tra le app creative di Apple. Un nuovo tablet da gioco OLED di Red Magic mette in mostra il raffreddamento a liquido. Un nuovo tablet da gioco OLED di Red Magic mette in mostra il raffreddamento a liquido. Il Red Magic Gaming Tablet 5 Pro è stato lanciato in Cina con un display OLED a 185Hz, raffreddamento attivo a liquido, doppie porte USB-C e un rilascio globale previsto come Astra 2. Recensione di Onyx Boox Note Max: Un anno dopo, amo questo enorme e-reader che pensa di essere un laptop, ma semplicemente non lo è. Recensione di Onyx Boox Note Max: Un anno dopo, amo questo enorme e-reader che pensa di essere un laptop, ma semplicemente non lo è. L'Onyx Boox Max Note è una straordinaria tavoletta simile alla carta con molta versatilità. Ma il suo più grande successo si trasforma anche nella sua debolezza principale. Samsung ha un nuovo Galaxy Ring in arrivo e potrebbe realizzare qualche nuovo trucco per la salute. Samsung ha un nuovo Galaxy Ring in arrivo e potrebbe realizzare qualche nuovo trucco per la salute. Samsung sta lavorando a un nuovo Galaxy Ring, e il miglioramento più importante potrebbe derivare da ciò che accade dopo che l'anello raccoglie i segnali di salute in background. Hon Pak, che guida il team di salute digitale di Samsung, ha detto a Forbes che un anello di nuova generazione è in fase di sviluppo. Samsung non ha annunciato il nome, il momento del lancio, il prezzo, le regioni o […]

L'economia del portale captive: come le pagine di accesso WiFi degli hotel sono diventate sia un vettore di sicurezza che un canale pubblicitario nascosto

Il CEO di KeepSolid, Vasyl Ivanov, spiega come i portali captive WiFi degli hotel si siano evoluti sia in una vulnerabilità di sicurezza che in un canale pubblicitario programmatico, e cosa dovrebbero fare i client VPN al riguardo.