Internet im Flugzeug: Gogo benutzt gefälschte SSL-Zertifikate für Youtube

Eine Google-Managerin hat nicht schlecht gestaunt, als ihr im Flugzeug ein falsches SSL-Zertifikat für Youtube angeboten worden ist. Provider Gogo begründet dies mit Traffic-Management.

Artikel veröffentlicht am ,
Die Browserwarnung vor dem nicht vertrauenswürdigen SSL-Zertifikat.
Die Browserwarnung vor dem nicht vertrauenswürdigen SSL-Zertifikat. (Bild: Screenshot: Adrienne Porter Felt)

Der US-Provider Gogo stellt für Internetnutzer in Flugzeugen absichtlich gefälschte SSL-Zertifikate für Googles Videoportal Youtube aus. Das Unternehmen hat am Montag diese Praxis bestätigt, nachdem der Google-Managerin Adrienne Porter Felt am vergangenen Freitag aufgefallen war, dass Gogo ein HTTPS-Zertifikat des Suchmaschinenkonzerns ausgegeben hatte. Dieser klassische Man-in-the-Middle-Angriff soll offenbar dazu dienen, den verschlüsselten Traffic der Flugzeugpassagiere zu kontrollieren und datenintensives Videostreaming zu verhindern.

Gogos CTO Anand Chari bestätigte, "dass wir verschiedene Streaming-Seiten nicht unterstützen und mehrere Verfahren nutzen, um Videostreaming zu begrenzen und zu blockieren." Die Verfahren beträfen jedoch nur verschlüsselte Videodienste und nicht den sicheren Datenverkehr im Allgemeinen. Damit solle sichergestellt werden, dass jeder Fluggast gleichmäßig das Internet nutzen könne. Gogo versicherte, dass keine Nutzerinformationen durch dieses Traffic-Management gesammelt würden.

Große Internetkonzerne wie Google, Yahoo oder Facebook haben die Verschlüsselung ihrer Dienste nach den ersten Enthüllungen zur NSA-Abhöraffäre in der zweiten Jahreshälfte 2013 verstärkt umgesetzt. Um solche zwangsverschlüsselten Seiten wie Youtube nicht komplett zu blockieren, greift Gogo zu dieser dubiosen Methode des Traffic-Managements. Normalerweise wäre es sonst nur Googles Tochterunternehmen selbst möglich, den Datenverkehr zu entschlüsseln.

Sicherheitsexperten kritisieren die Methode

Verschiedene US-Medien kritisierten daher das Vorgehen Gogos. Es sei eine alarmierende Praxis, schreibt das Technikportal The Verge. Gogo breche die Sicherheit sicherer Seiten, um seine eigenen Dienste besser vermarkten zu können. "Das ist eine schreckliche Idee für alle Beteiligten."

Arstechnica zitierte ungenannte Sicherheitsexperten und Datenschützer, wonach kein Internetprovider diese Art der Kontrolle praktizieren sollte. Der Sicherheitsexperte Kevin Bocek sagte dem Magazin Securityweek: "Es ist für Nutzer und Unternehmen immer schwieriger nachzuvollziehen, ob sicheren Verbindungen vertraut werden kann. Provider wie Gogo sollten die Sache daher nicht noch komplizierter machen und Verwirrung und Risiken erzeugen, indem sie augenscheinlich schädliche Zertifikate nutzen, die zur Manipulation oder Überwachung privater Kommunikation eingesetzt werden könnten." Bocek verwies darauf, dass im vergangenen Jahr mehr als 6.000 gefälschte Facebook-Zertifikate entdeckt worden seien, von denen einige aktiv von Schadsoftware genutzt worden seien.

Seinen Ruf bei Datenschützern dürfte Gogo mit der Praxis weiter beschädigt haben. Schon im vergangenen Jahr war bekanntgeworden, dass das Unternehmen enger mit den Ermittlungsbehörden zusammenarbeitet, als es gesetzlich vorgeschrieben ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Thorium 08. Jan 2015

Das sowas noch nicht aufgefallen ist, kannst du davon ausgehen, dass es halt nicht im...

User_x 08. Jan 2015

also nur KMU - alias deutscher Mittelstand und kein global player ;D

nw42 07. Jan 2015

Darf jetzt jeder Sicherheitszertifikate fälschen und sich in den Datenverkehr anderer...

Anonymer Nutzer 07. Jan 2015

Danke, kannte ich noch nicht.



Aktuell auf der Startseite von Golem.de
Programmiersprache
Das ändert sich in Go 1.20

Im Februar erscheint Go in der Version 1.20. Wir geben eine Übersicht über die wichtigsten Neuerungen.
Von Tim Scheuermann

Programmiersprache: Das ändert sich in Go 1.20
Artikel
  1. Morgan Stanley: Bank reicht Whatsapp-Millionen-Strafe an Angestellte weiter
    Morgan Stanley
    Bank reicht Whatsapp-Millionen-Strafe an Angestellte weiter

    Wegen der Nutzung von Whatsapp hatten Finanzregulatoren 2022 mehrere Banken mit hohen Strafen belegt.

  2. Arbeit im Support: Von der Kunst, Menschen und Technik zu jonglieren
    Arbeit im Support
    Von der Kunst, Menschen und Technik zu jonglieren

    Geht nicht, gibt's oft - und dann klingelt das Telefon beim Support. Das Spektrum der Probleme ist gewaltig und die Ansprüche an einen guten Support auch. Ein Leitfaden für (angehende) Supportmitarbeiter.
    Ein Ratgebertext von Lutz Olav Däumling

  3. Nutzertest: Deutsche Glasfaser erreicht 1 GBit/s nicht ganz
    Nutzertest
    Deutsche Glasfaser erreicht 1 GBit/s nicht ganz

    Ein Kunde hat seine Hardware aufgerüstet, dennoch bekommt er statt 1 GBit/s nur 950 MBit/s im Download. Deutsche Glasfaser forscht nach.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • XFX RX 7900 XTX 1.199€ • WSV bei MM • Razer Viper V2 Pro 119,99€ • MindStar: XFX RX 6950 XT 799€, MSI RTX 4090 1.889€ • Epos Sennheiser Game One -55% • RAM/Graka-Preisrutsch • Razer Gaming-Stuhl -41% • 3D-Drucker 249€ • Kingston SSD 1TB 49€ • Asus RTX 4080 1.399€[Werbung]
    •  /