Экономика захваченного портала: как страницы входа в Wi-Fi отелей стали как вектором безопасности, так и скрытым рекламным каналом

Экономика захваченного портала: как страницы входа в Wi-Fi отелей стали как вектором безопасности, так и скрытым рекламным каналом

      TL;DRОтельные WiFi-кaptive порталы тихо стали как поверхностью для атак безопасности (страницы только HTTP, захват DNS, недобросовестные сети), так и программным рекламным каналом, собирающим данные первой стороны. Большинство VPN-клиентов не справляются с передачей. KeepSolid встроил проверку сети кaptive портала в VPN Unlimited, чтобы автоматически обнаруживать и переподключаться.

      В прошлом месяце я заселился в отель для конференции. Открыл ноутбук. Нажал WiFi. Сеть отеля. Появляется знакомый экран приветствия: введите номер вашего номера, вашу фамилию, примите условия. Стандартно.

      То, что больше не является стандартом, - это то, что происходит за этим экраном приветствия.

      Кaptive портал, та страница входа, которую вы видите, прежде чем сможете использовать WiFi в отеле или аэропорту, тихо эволюционировал в две параллельные отрасли одновременно. Одна из них - это поверхность для атак безопасности. Другая - это программный рекламный канал, стоящий реальных денег. Они разделяют инфраструктуру. Большинство путешественников не видят ни одну из сторон этого явно. Большинство поставщиков VPN тоже.

      Техническая реальность

      💜 технологий ЕС Последние слухи из технологической сцены ЕС, история от нашего мудрого основателя Бориса и немного сомнительного искусственного интеллекта. Это бесплатно, каждую неделю, в вашем почтовом ящике. Подпишитесь сейчас!Кaptive портал работает, перехватывая HTTP-запросы с вашего устройства до того, как вы аутентифицировались в сети. Вы не можете обойти его так, как обошли бы что-то другое, сама сеть заставляет каждый запрос проходить через перенаправление, пока вы не выполните любой ритуал, который требует портал. Введите номер комнаты. Примите условия. Иногда заплатите. Иногда посмотрите пятнадцатисекундное рекламное видео. Иногда передайте адрес электронной почты, который будет продан далее маркетинговой платформе.

      Это работает, потому что ваше устройство должно сделать незашифрованный HTTP-запрос к известному тестовому URL, чтобы просто определить, действительно ли доступ в интернет. Apple использует captive apple com. Microsoft использует www msftconnecttest com. Google использует connectivitycheck gstatic com. Операционная система по сути спрашивает сеть «я действительно онлайн?», и кaptive портал отвечает, перехватывая этот запрос и перенаправляя на свою страницу приветствия. Это запланированное поведение протокола, а не ошибка.

      Это также причина, по которой ваш VPN не может помочь вам здесь. К тому времени, когда вы запустили клиент VPN, тест подключения на уровне ОС уже раскрыл ваше устройство и вызвал перенаправление портала. VPN не может подключиться, потому что сеть не пропустит его, пока вы не аутентифицируетесь на портале. Поэтому вы отключаете VPN. Нажимаете на экран приветствия. Забываете снова включить VPN. Просматриваете остальную часть вашей поездки без защиты.

      Это тот разрыв, который мы преследовали, когда встроили обработку кaptive портала в VPN Unlimited. Большинство VPN-клиентов все еще не закрывают его чисто.

      То, что работает на этом кaptive портале, не всегда то, что вы думаете.

      Большинство крупных гостиничных сетей не управляют своей собственной WiFi-инфраструктурой. Они заключают контракты с такими компаниями, как Boingo, Aptilo Networks или Cloud4Wi. Это реальные компании с реальными продуктами и разумными стандартами безопасности. Но качество развертывания сильно варьируется в зависимости от объектов, и стандарт бренда по всей сети не всегда распространяется на реализацию кaptive портала в конкретном франшизном объекте в конкретной стране.

      Ошибки безопасности делятся на несколько категорий. Наиболее распространенная - это порталы только HTTP, сама страница приветствия не требует TLS, поэтому введенные вами учетные данные (номер комнаты, фамилия, иногда данные кредитной карты для премиум-уровней) проходят по локальной сети в открытом виде. Вторая - это захват DNS, кaptive портал заставляет все ваши DNS-запросы проходить через их резолвер, что дает оператору портала возможность видеть каждый домен, который вы запрашиваете в течение вашей сессии, независимо от того, что ваше устройство думает о своих настройках DNS. Третья, менее распространенная, но хорошо задокументированная на конференциях по безопасности, - это активно злонамеренный портал, недобросовестное устройство, выдающее себя за сеть отеля, показывающее свой собственный экран приветствия, собирающее любые учетные данные, которые пользователь вводит, прежде чем подключить их к реальной сети, чтобы они никогда не заметили, что что-то было не так.

      Вам не нужно находиться в высокорисковой среде, чтобы это произошло. Вам нужно быть в отеле.

      Сторона рекламного канала

      Вот часть, о которой большинство путешественников не думает: этот экран приветствия также является частью премиум-рекламного инвентаря.

      Рынок «платформ WiFi-маркетинга» - это реальная и растущая категория. Компании в этом сегменте, Cloud4Wi - одна из более заметных, предлагают свои продукты отелям, аэропортам, розничным торговцам и стадионам как способ монетизировать секунды и минуты, которые гости проводят на кaptive портале. Общая идея в этом сегменте выглядит примерно так: каждый гость, который подключается к вашему WiFi, является захваченной аудиторией для пятнадцатисекундной видеорекламы, быстрого опроса, захвата электронной почты или спонсируемого предложения. Место сбора собирает данные первой стороны. В зависимости от того, как настроена платформа и какие партнерские отношения существуют, эти данные могут быть переданы маркетинговым сетям или использованы для повторного таргетинга после того, как гость покинет.

      Экономика работает для места. WiFi в противном случае является чистой затратой. Добавление программного рекламного слоя превращает его в маргинальный источник дохода, особенно в местах с высоким трафиком. Экономика также работает для рекламодателей, потому что аудитория необычно хорошо таргетирована (вы знаете, что они находятся в этом аэропорту, этом отеле, этом конкретном месте) и предсказуемо обращает внимание (они буквально не могут делать ничего другого онлайн, пока не примут портал).

      Ничто из этого не является незаконным. Это также не всегда раскрывается таким образом, чтобы средний путешественник это заметил. Кнопка «принять условия», на которую вы нажимаете в спешке, часто включает согласие на маркетинговые коммуникации, обмен данными с партнерской сетью оператора WiFi и иногда отслеживание местоположения на время вашего пребывания. Большинство людей не читают условия. Порталы разрабатываются с предположением, что они не будут.

      Где сталкиваются две отрасли

      То, что я нахожу интересным в этом слиянии, это то, что та же инфраструктура кaptive портала, которая коммерциализируется для рекламы, также является структурной слабой точкой безопасности. Оператор портала имеет доступ к вашему устройству, вашим доменным запросам, часто вашим учетным данным для аутентификации. У них также есть коммерческий стимул удерживать вас на портале дольше (больше показов) и идентифицировать вас по сессиям (лучший профиль для продажи данных).

      Для путешественника, осведомленного о безопасности, кaptive портал является как точкой трения, тем, что ломает ваш VPN, так и утечкой конфиденциальности, тем, что профилирует вас, пока ваш VPN выключен. Это не отдельные проблемы. Это одна и та же проблема, рассматриваемая с двух сторон, и обе они были созданы одним и тем же основным выбором дизайна: что ОС должна общаться с локальной сетью в открытом виде, прежде чем она сможет установить безопасное соединение.

      Что мы построили и почему это заняло больше времени, чем должно было

      В KeepSolid мы в конечном итоге выпустили функцию в VPN Unlimited, специально чтобы закрыть этот круг. Мы назвали это Проверка сети кaptive портала. Основная идея проста. Когда клиент обнаруживает, что он находится за кaptive порталом, вместо того чтобы молча завершиться или заставить пользователя вручную отключить VPN, приложение выводит портал, позволяет пользователю завершить любую аутентификацию, которую требует сеть, а затем автоматически переподключает VPN. Пользователю никогда не нужно помнить о повторном включении защиты. Окно уязвимости сокращается с «остальной части поездки» до «секунд, необходимых для очистки портала».

      Само обнаружение простое: клиент следит за конкретными шаблонами перенаправления HTTP

Другие статьи

Забудьте о AirTag от Apple, новый трекер Android от Motorola работает более 500 дней и стоит дешевле. Забудьте о AirTag от Apple, новый трекер Android от Motorola работает более 500 дней и стоит дешевле. Moto Tag 2 от Motorola поступает в продажу в США и Канаде с поддержкой Ultra Wideband отслеживания, Bluetooth Channel Sounding, Google Find Hub и более чем 500 днями работы от батареи. Выпуск GTA 6 без диска может скрывать более глубокую проблему, и это немного меня беспокоит. Выпуск GTA 6 без диска может скрывать более глубокую проблему, и это немного меня беспокоит. Отсутствие диска с GTA 6 вызывает разочарование у игроков, но наиболее убедительное объяснение может заключаться в том, что Rockstar все еще работает над завершением игры. Google выпускает Nano Banana 2 Lite, свой самый быстрый и дешевый генератор изображений на основе ИИ. Google выпускает Nano Banana 2 Lite, свой самый быстрый и дешевый генератор изображений на основе ИИ. Nano Banana 2 Lite генерирует изображения за четыре секунды менее чем за четыре цента за тысячу и поставляется вместе с более широким развертыванием Gemini Omni Flash для видео. Meta выдала себя за подростков, чтобы протестировать конкурирующие AI-чат-боты Meta выдала себя за подростков, чтобы протестировать конкурирующие AI-чат-боты Сотни подрядчиков на проекте Meta выдавали себя за подростков, чтобы проверить, как ChatGPT, Gemini и Character.AI справляются с темами самоубийств, наркотиков и секса, выяснил WIRED. Следующий телефон Motorola Edge может сделать момент MagSafe для Android дешевле, чем это сделал Google. Следующий телефон Motorola Edge может сделать момент MagSafe для Android дешевле, чем это сделал Google. Motorola Edge 70 Max появился с сертификатом Qi2.2.1, что намекает на наличие встроенных магнитов, беспроводной зарядки мощностью 25 Вт и поддержку аксессуаров для Android в стиле MagSafe. У Samsung скоро выйдет новое кольцо Galaxy, и оно может предложить некоторые новые функции для здоровья. У Samsung скоро выйдет новое кольцо Galaxy, и оно может предложить некоторые новые функции для здоровья. Samsung работает над новым Galaxy Ring, и самое важное обновление может быть связано с тем, что происходит после того, как кольцо собирает сигналы здоровья в фоновом режиме. Хон Пак, возглавляющий команду цифрового здоровья Samsung, сообщил Forbes, что разрабатывается кольцо следующего поколения. Samsung не объявила название, сроки запуска, цену, регионы или […]

Экономика захваченного портала: как страницы входа в Wi-Fi отелей стали как вектором безопасности, так и скрытым рекламным каналом

Генеральный директор KeepSolid Василий Иванов объясняет, как захватывающие порталы WiFi в отелях превратились как в уязвимость безопасности, так и в программный рекламный канал, и что клиенты VPN должны с этим делать.