Internet im Flugzeug: Gogo benutzt gefälschte SSL-Zertifikate für Youtube
Der US-Provider Gogo stellt für Internetnutzer in Flugzeugen absichtlich gefälschte SSL-Zertifikate für Googles Videoportal Youtube aus. Das Unternehmen hat am Montag diese Praxis bestätigt(öffnet im neuen Fenster) , nachdem der Google-Managerin Adrienne Porter Felt am vergangenen Freitag aufgefallen war(öffnet im neuen Fenster) , dass Gogo ein HTTPS-Zertifikat des Suchmaschinenkonzerns ausgegeben hatte. Dieser klassische Man-in-the-Middle-Angriff soll offenbar dazu dienen, den verschlüsselten Traffic der Flugzeugpassagiere zu kontrollieren und datenintensives Videostreaming zu verhindern.
Gogos CTO Anand Chari bestätigte, "dass wir verschiedene Streaming-Seiten nicht unterstützen und mehrere Verfahren nutzen, um Videostreaming zu begrenzen und zu blockieren." Die Verfahren beträfen jedoch nur verschlüsselte Videodienste und nicht den sicheren Datenverkehr im Allgemeinen. Damit solle sichergestellt werden, dass jeder Fluggast gleichmäßig das Internet nutzen könne. Gogo versicherte, dass keine Nutzerinformationen durch dieses Traffic-Management gesammelt würden.
Große Internetkonzerne wie Google, Yahoo oder Facebook haben die Verschlüsselung ihrer Dienste nach den ersten Enthüllungen zur NSA-Abhöraffäre in der zweiten Jahreshälfte 2013 verstärkt umgesetzt . Um solche zwangsverschlüsselten Seiten wie Youtube nicht komplett zu blockieren, greift Gogo zu dieser dubiosen Methode des Traffic-Managements. Normalerweise wäre es sonst nur Googles Tochterunternehmen selbst möglich, den Datenverkehr zu entschlüsseln.
Sicherheitsexperten kritisieren die Methode
Verschiedene US-Medien kritisierten daher das Vorgehen Gogos. Es sei eine alarmierende Praxis, schreibt das Technikportal The Verge(öffnet im neuen Fenster) . Gogo breche die Sicherheit sicherer Seiten, um seine eigenen Dienste besser vermarkten zu können. "Das ist eine schreckliche Idee für alle Beteiligten."
Arstechnica zitierte(öffnet im neuen Fenster) ungenannte Sicherheitsexperten und Datenschützer, wonach kein Internetprovider diese Art der Kontrolle praktizieren sollte. Der Sicherheitsexperte Kevin Bocek sagte dem Magazin Securityweek(öffnet im neuen Fenster) : "Es ist für Nutzer und Unternehmen immer schwieriger nachzuvollziehen, ob sicheren Verbindungen vertraut werden kann. Provider wie Gogo sollten die Sache daher nicht noch komplizierter machen und Verwirrung und Risiken erzeugen, indem sie augenscheinlich schädliche Zertifikate nutzen, die zur Manipulation oder Überwachung privater Kommunikation eingesetzt werden könnten." Bocek verwies darauf, dass im vergangenen Jahr mehr als 6.000 gefälschte Facebook-Zertifikate entdeckt worden seien, von denen einige aktiv von Schadsoftware genutzt worden seien.
Seinen Ruf bei Datenschützern dürfte Gogo mit der Praxis weiter beschädigt haben. Schon im vergangenen Jahr war bekanntgeworden(öffnet im neuen Fenster) , dass das Unternehmen enger mit den Ermittlungsbehörden zusammenarbeitet, als es gesetzlich vorgeschrieben ist.
- Anzeige Hier geht es zu Fliegen: Die Geschichte der Luftfahrt bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.