EDICIóN GENERAL

Informe confirma uso de supercookies para rastrear móviles

Habia visto esta web amibeingtracked.com en otro envio pero no sabia que se referia a este tema de las supercookies y la inyección de cabeceras http por parte del operador.

¿Cómo saben en el test de esta web que el operador no se está inhibiendo de inyectar la cabecera http de supercookie al detectar que la web es esa en particular?

Esto es equivalente a si al realizar una llamada de voz el operador estuviese introduciendo en los silencios otras voces y otras palabras adicionales en la conversación.
#61 Para los que quieran ver todas las cabeceras con información que se envian (las normales las genera el navegador web de tu movil y ordenador) pueden utilizar webs como esta myhttp.info/

Esta nueva cabecera de "supercookie" la genera y la incluye el operador de telecomunicaciones.

En el sentido contrario, del servidor al usuario es un poco como aquel asunto de los operadores que bloqueaban la publicidad tipo adblock pero a nivel de operador.
www.meneame.net/story/polemica-francia-filtro-anti-publicidad-instalad
www.adslzone.net/2015/05/15/los-operadores-de-telefonia-planean-bloque
m.xatakamovil.com/movil-y-sociedad/adios-publicidad-en-el-movil-los-op
#11 #12 #15 #18 #26 #43 #61 #62 #7 He montado un script en mi servidor para ver las cabeceras:

gejo.org/cabeceras_http/

Si entras con el WIFI desactivado, busca la línea:
X-UP-SUBNO: 034XXXXXXXXXXXXXXXXX (en el caso de Movistar)
Si está ahí estás siendo rastreado. Tu operador inyecta ese identificador, que es único para tu tarjeta SIM. Da igual que cambies de móvil.
Activando WIFI y recargando verás que esa cabecera desaparece. Comparando las cabeceras por WIFI y por móvil puedes saber lo que añade tu operador.

Con esta información, varias webs pueden asociarse para compartir esa información y saber si has visitado algún otro de los asociados. Aún peor: si introduces otros datos durante tu visita (nombre, dirección, email...) se pueden relacionar inequívocamente con tu SIM para elaborar una completa base de datos con tu identidad, tus gustos y tus hábitos de navegación.

El código del script en PHP es bastante sencillo.
Comparto por si lo queréis probar vosotros mismos:

<?php
if( !function_exists('apache_request_headers') ) {
function apache_request_headers() {
$arh = array();
$rx_http = '/AHTTP_/';
foreach($_SERVER as $key => $val) {
if( preg_match($rx_http, $key) ) {
$arh_key = preg_replace($rx_http, '', $key);
$rx_matches = array();
$rx_matches = explode('_', $arh_key);
if( count($rx_matches) > 0 and strlen($arh_key) > 2 ) {
foreach($rx_matches as $ak_key => $ak_val) $rx_matches[$ak_key] = ucfirst($ak_val);
$arh_key = implode('-', $rx_matches);
}
$arh[$arh_key] = $val;
}
}
return( $arh );
}
}
$headers = apache_request_headers();
foreach ($headers as $header => $value){
echo "$header: $value <br />n";
}
?>


Simplemente obtiene las cabeceras mediante la función apache_request_headers (y la define si la configuración del servidor no la acepta, como es mi caso).

No recopilo ninguna información (aunque sería muy fácil), sólo la muestro en pantalla.
#65 hare la prueba tambien compartiendo internet con el portatil, aunque imagino que no cambiara el resultado.

Montandolo para que use una vpn me podria cargar la cabecera?
#67 He hecho la prueba compartiendo internet con otro cacharro (tethering), y en mi caso no pasan las cabeceras de rastreo.
Se puede configurar una vpn de manera que elimine determinadas cabeceras de las peticiones http. Si puedes probarlo, me interesaría saber si te ha dado buen resultado.
#68 acabo de hacer la prueba configurando un servidor vpn en casa usando no-ip. Al hacer la prueba con 3G la cabecera desaparece. Si la navegacion no se resiente se quedara asi
#68 Por VPN nunca deberían ser marcados los datos, al ir cifrados.
Por tethering en cambio es raro (e interesante) que no los marquen, en los Iphone sí que lo tienen fácil porque el teléfono te pone otro APN, pero en Android creo que en principio tienen que detectarlo por el UserAgent, MTU... si a través de tethering no los marcan quiere decir que hay una forma de evitar el marcado, aunque posiblemente difícil (lo recomendable es mandarles a la mierda).
En #70 quería decir: al ir cifrados dentro de un túnel cifrado.

menéame