'Middlebox telco's zorgt voor problemen mobiele telefoons'

De manier waarop telco's internetverkeer afhandelen kan negatieve gevolgen hebben voor smartphones. Zo kan de accuduur verminderen en in bepaalde gevallen de veiligheid in het geding zijn. Nat-routers en firewalls zouden de oorzaak zijn.

Amerikaanse onderzoekers hebben onderzocht welke gevolgen nat-routers en firewalls van telecomproviders hebben op mobiele telefoons. De onderzoekers ontwikkelden een Android-applicatie, NetPiculet, die in staat was te ontdekken welke effecten de middlebox van een telecomprovider heeft. De app kon onder andere te weten komen wat voor nat-routing er werd toegepast en hoe tcp-packets werden behandeld. De applicatie stuurde deze gegevens terug naar de onderzoekers.

In totaal installeerden 393 gebruikers de app, waarmee de onderzoekers inzicht verkregen in het netwerkbeleid van 107 providers wereldwijd. Van die providers bevonden zich 46 in Europa. Uit het onderzoeksrapport blijkt dat het bij vier grote telco's mogelijk is om ip-adressen te spoofen. Elf providers hanteerden een timeout-waarde van tien minuten voor idle-tcp-verbindingen, bijvoorbeeld voor push-mail; daardoor moeten telefoons vaker opnieuw verbinding maken. Volgens de onderzoekers kan dat de accuduur van een smartphone met meer dan 10 procent per dag doen afnemen.

Soms worden tcp-verbindingen niet meteen gesloten wanneer een gebruiker deze wil verbreken, waardoor aanvallers langer de tijd zouden kunnen krijgen om een smartphone aan te vallen. Daardoor zou een kwaadwillende een aanval kunnen uitvoeren waarbij oneindig veel data naar een apparaat wordt gestuurd, waardoor de accu leegloopt: in feite biedt dit de mogelijkheid tot het uitvoeren van een denial of service-aanval.

Verder buffert een grote Amerikaanse provider alle internetverkeer lokaal, voordat het verkeer naar een telefoon wordt gestuurd. Daardoor kunnen pakketten die hun bestemming niet bereiken, niet direct opnieuw verzonden worden. Omdat packet loss op draadloze netwerken vaak voorkomt, kan dat de doorvoersnelheid bij een download van 1MB tot 50 procent vertragen, aldus de onderzoekers. Ze verdenken de telco ervan de tcp-packets te bufferen om dpi te kunnen uitvoeren.

Tot slot stellen de onderzoekers dat het nat-routingbeleid van providers soms niet optimaal is. Zo worden poorten soms willekeurig toegekend, waardoor nat-traversal moeilijker wordt. Dat kan problemen opleveren bij applicaties die nat-traversal nodig hebben, zoals voip-apps. Het is niet duidelijk bij welke telecomprovider welke problemen spelen: om juridische redenen en uit privacy-overwegingen zijn de resultaten geanonimiseerd.

Door Joost Schellevis

Redacteur

Feedback • 29-08-2011 16:50 27

29-08-2011 • 16:50

27

Lees meer

Android-app waarschuwt voor naderende auto's bij oversteken
Android-app waarschuwt voor naderende auto's bij oversteken Nieuws van 29 november 2011
Tweede Kamer wil meer ruimte voor nieuwkomers telecommarkt
Tweede Kamer wil meer ruimte voor nieuwkomers telecommarkt Nieuws van 18 augustus 2011
Een derde van de internetters is ook mobiel online
Een derde van de internetters is ook mobiel online Nieuws van 18 juli 2011
AMS-IX biedt ipx-interconnects aan - update
AMS-IX biedt ipx-interconnects aan - update Nieuws van 9 juni 2011
Vodafone-topman: providers moeten websites blokkeren
Vodafone-topman: providers moeten websites blokkeren Nieuws van 6 juni 2011
KPN belooft dagenlange vdsl-storing maandag op te lossen - update
KPN belooft dagenlange vdsl-storing maandag op te lossen - update Nieuws van 30 mei 2011
Meer producten en artikelen
Mobiele netwerken Internettoegang Internet Isp Netwerktechnologie Provider Telecom

Reacties (27)

-Moderatie-faq
27
27
22
2
0
5
Wijzig sortering

Sorteer op:

Weergave:
Mythix 29 augustus 2011 17:36
Spijtig dat dit annoniem is...
Slechte reclame is het enige wat grote telco's in beweging kan zetten invele gevallen....

Zeker als het om DPI gaat, ze mogen de klanten van deze telco toch wel waarschuwen vind ik...
Sorcerer8472
@Mythix29 augustus 2011 17:52
Zelfs veel grote normale ISP's passen DPI toe, bijvoorbeeld om veel gedownloade content van buiten hun netwerk te cachen (met name als het ook nog eens geen peering is maar duur transitverkeer).

Je gaat dan via een transparante proxy het internet op. Transparante proxy's zitten ook op veel mobiele apn's (vandaar de slechtere beeldkwaliteit die je op je mobieltje of laptop vaak ziet bij mobiel internet; da's pure DPI + vervanging van de originele content!)

Deze methode maakt het bovendien voor hostingproviders e.d. lastig om betrouwbare statistieken te krijgen omdat de content minder vaak gedownload lijkt te worden.

In Nederland/Europa speelt dit niet echt (behalve mobiel dus), maar in andere werelddelen speelt het wel degelijk.

Het is niet echt privacyschending omdat het volledig geautomatiseerd is en niet gelogd wordt als het goed is. Je moet echt niet te snel met die term gaan schermen. Vergeet niet dat bijna alle switches die bij providers staan tap-mogelijkheden hebben die ook intern gebruikt kunnen worden door een datacenter-medewerker. In theorie zouden zij een laptopje aan een switch kunnen hangen en verkeer afluisteren. Zomaar. Wetgeving, vertrouwen en massa (de hoeveelheid verkeer) maken dat het niet gebeurt.
robertwebbe @Sorcerer847230 augustus 2011 00:18
Vodafone APN met beeldcompressie: office.vodafone.nl
Vodafone APN zonder beeldcompressie: web.vodafone.nl

KPN APN met beeldcompressie: fastinternet
KPN APN zonder beeldcompressie: basicinternet

T-Mobile: instellen via speed.t-mobile.nl
Verwijderd @Sorcerer847230 augustus 2011 00:09
Of het nu mag of niet: ik wil het niet. Ik verwacht dat mijn internetverbinding transparant is en dat er niet allerlei doosjes tussen zitten. Wat er over de lijn gaat en hoe is een zaak tussen mij en de server. De provider moet er alleen maar voor zorgen dat pakketjes zo snel mogelijk en zo betrouwbaar mogelijk op en neer gaan.

Het zou fijn zijn als we konden kiezen voor een provider die dit niet allemaal doet, maar denk dat deze niet bestaan....
HarryDeCowboy 29 augustus 2011 17:07
Toch belangrijk dat dit naar buiten wordt gebracht, niet omdat het zo wereldschokkend is maar wel dat de providers nu beseffen dat dit nu bekend is bij de buitenwereld en er dus (mits mensen er over gaan klagen) wel wat aan gedaan gaat worden.

Internet op telefoons is wel een ondergeschoven en onderschat medium, aangezien er toch wel degelijk zeer gevoelige informatie buit kan worden gemaakt, en zeg nou zelf in deze tijd moet dit toch gewoon goed geregeld zijn, het is geen 1999 meer.
Verwijderd @HarryDeCowboy29 augustus 2011 17:46
Internet op telefoons is wel een ondergeschoven en onderschat medium, aangezien er toch wel degelijk zeer gevoelige informatie buit kan worden gemaakt, en zeg nou zelf in deze tijd moet dit toch gewoon goed geregeld zijn, het is geen 1999 meer.
Ik snap niet precies waar je opmerking betrekking op heeft. De mogelijk veiligheid aspecten in de genoemde studie zijn zeer minimaal, het is veelal een mogelijkheid om de accu van de aangevallene iets zwaarder te belasten dan iets anders, En natuurlijk zijn zaken op dit moment veel beter geregeld dan in 1999. Geen idee hoe oud je bent, maar in die tijd was het hacken van vrijwel alles veel en veel gemakkelijker.

Overigens vraag ik me sterk af hoeveel waarde we hieraan moeten hechten. 107 gebruikers wereldwijd, 46 in heel Europa. Zelfs na wat dieper naspeuren kan ik niets anders bedenken dan dat het weer een mooi verspreid persbericht is. Tweakers pakt alles wat ook maar enigszins te maken heeft met 'hacken' erg makkelijk op. Ik snap dat de gemiddelde bezoeker dat liever leest dan een artikel over iets serieus maar persoonlijk erger ik me eraan.

Ik was een paar weken terug in Andorra en kreeg daar een provider toegewezen die me elke 15 minuten een reclame SMS stuurde (24 uur per dag). Later leerde ik dat dit een provider was die zowat alles fout deed wat maar kon maar slecht een bereik had van een paar wijken in een stad van een zeer klein land. En ze mikte alleen maar op toeristen. Twee van dit soort providers in dit onderzoek en je hebt een paar pagina's met problemen waar niemand ooit mee te maken zal krijgen.

Geef naam en toenaam en het betekend iets. Nu is het geenstijl gehalte erg hoog. Zelfs als Microsoft iets met de studie te maken heeft!

[Reactie gewijzigd door Verwijderd op 23 juli 2024 20:39]

Sorcerer8472
@Verwijderd29 augustus 2011 18:00
En dan nog iets: je kunt wel DoS'en, maar dan moet je het IP weten van wie je aanvalt, anders kun je alleen in het algemeen "gebruikers van bepaalde mobiele netwerken" frustreren zonder dat je iemand specifiek kunt aanvallen.

Het geschreven document is gewoon een universitair onderzoek (voor iemands MSc ofzo, hoewel het daar wel kort voor is), dus ik denk niet dat er veel bedrijfs-motivatie achter zit :)
HarryDeCowboy @Verwijderd29 augustus 2011 21:25
Ik heb ook nergens gezegd dat het makkelijk is om mobiele verbindingen te 'hacken', als je mijn reactie goed leest zie je dat mijn punt is dat providers niet zoveel aandacht besteden aan hun internet-verbindingen als bijvoorbeeld een vaste provider voor internet.

Mede daardoor concludeer ik dat mobiele verbindingen een onderschat medium zijn omdat op mobiele telefoons wel degelijk zeer gevoelige informatie (kan) staan, en deze manieren van data afhandeling van providers gewoon afgeraffeld is en ze hiermee onnodig hun gebruikers en eigen netwerk belasten.

edit:
Ps.: Dat er maar een bepaal aantal gebruikers aan mee heeft gedaan wil niet zeggen dat hun ook de enigen zijn die dit ondervinden, als hun het bij de desbetreffende provider ondervinden kun je er donder op zeggen dat de rest van de klanten dit ook zullen ervaren, kortom je argument is niet echt doordacht.

[Reactie gewijzigd door HarryDeCowboy op 23 juli 2024 20:39]

Verwijderd @HarryDeCowboy29 augustus 2011 17:45
Tsja, internet bankieren via je mobiel... toch maar niet? ;)

Spoofing... weer een alibi erbij, wat het kan ook iemands anders zijn geweest.... it wasn't me!

[Reactie gewijzigd door Verwijderd op 23 juli 2024 20:39]

Sorcerer8472
@Verwijderd29 augustus 2011 17:53
Dat gaat eigenlijk altijd via SSL-encryptie. Als je die sessie al kunt onderscheppen (qua IP+poort) dan kun je er nog niks mee. Zelfs via gratis wifi kun je rustig mobiel internetbankieren (bijv. via een bank-site of app; altijd ssl).
Verwijderd @Sorcerer847229 augustus 2011 18:01
Maar dan wordt het wel mogelijk om via een "Man in the middle attack" de gebruiker automatische door te verwijzen (http redirect) naar een nep inlogscherm.
Sorcerer8472
@Verwijderd29 augustus 2011 18:11
Nee, dat kan niet, want je bent (in jouw voorbeeld) met https bezig, en je kunt geen http-requests via https doorsturen omdat jij niet de initiële handshake etc. hebt gedaan.

Bovendien zou je de gebruiker sowieso niet kunnen doorsturen aangezien je juist het IP van de gebruiker afpakt. En de bank kun je niet zo gemakkelijk voor de gek houden gok ik :P
burne @Sorcerer847229 augustus 2011 18:48
'SSL Renegotiation attack'.

Goed, het is nog altijd niet triviaal, en met modern spul wel gefixt, maar oudere, niet up-to-date smartphones zijn nog altijd kwetsbaar.
regmaster @burne29 augustus 2011 22:59
Waarom zo ingewikkeld? Het is erg ingewikkeld en lastig om SSL verbindingen te hijacken, het werkt beter om je als crimineel op de gebruikers te richten. De meeste smartphones beschikken toch niet over een firewall of een virusscanner, dan is het veel gemakkelijker om een stukje malware in een spelletje o.i.d.. te verstoppen dat alle toetsaanslagen vastlegt en naar de crimineel toestuurt.
Siebelouis @Sorcerer847229 augustus 2011 19:38
Waarom maken ze niet elke site ssl? Dan is er toch nooit een probleem?
analog_ @Siebelouis29 augustus 2011 21:43
Dat maakt internet alleen maar duurder, inhoudelijk betekend het meer verkeer en zwaardere belasting op eindpunten wat betreft computing power. SSL zonder geldig certificaat garandeert je enkel encryptie en integritait van data maar niet de authentiteit van de zender. Certificaten kosten geld maar garanderen identiteit.

[Reactie gewijzigd door analog_ op 23 juli 2024 20:39]

dasiro @HarryDeCowboy29 augustus 2011 18:56
voor veel van die zaken is een makkelijk argument te vinden:
Elf providers hanteerden een timeout-waarde van tien minuten voor idle-tcp-verbindingen, bijvoorbeeld voor push-mail; daardoor moeten telefoons vaker opnieuw verbinding maken. Volgens de onderzoekers kan dat de accuduur van een smartphone met meer dan 10 procent per dag doen afnemen.
als je per minuut wordt afgerekend, wil je niet per ongeluk je verbinding 2 uur laten open staan
Soms worden tcp-verbindingen niet meteen gesloten wanneer een gebruiker deze wil verbreken
sluit je per ongeluk je browser ff, dan mag je opnieuw connectiekosten betalen als je per sessie betaald.

dat zijn niet per definitie nadelen, maar zonder verdere duiding kan je dit gewoon niet als voor- of nadelen beschouwen en ook als dusdanig naar buiten brengen
Sorcerer8472
@dasiro29 augustus 2011 21:05
Als je per minuut wordt afgerekend dan gaat het om hoe lang de gprs-sessie openstaat, niet hoe lang een tcp-verbinding open is. Als een gprs-sessie wordt gesloten, zou je ook gelijk alle bijbehorende tcp-verbindingen kunnen afkappen.

Dus in dat geval gaat het in ieder geval niet op wat je zegt.
analog_ @Sorcerer847229 augustus 2011 21:48
Je wilt natuurlijk dat je telefoon voor jouw uitvist wanneer GPRS nodig is en wanneer niet. Wat je beschrijft is als je het zelf op/af zet.
Verwijderd @dasiro30 augustus 2011 00:06
als je per minuut wordt afgerekend, wil je niet per ongeluk je verbinding 2 uur laten open staan
Niemand wordt tegenwoordig per minuut belast voor een dataverbinding. Een openstaande verbinding kost verder niks, dus ik snap niet waarom een provider die zou willen verbreken.
Eagle Creek 29 augustus 2011 17:34
Ze verdenken de telco ervan de tcp-packets te bufferen om dpi te kunnen uitvoeren.
Maar dit kan je toch ook realtime doen; daar heb je toch geen (tot 50% vertragende) buffers voor nodig?

Wel goed dat "de andere kant van de lijn" eens onder de loep wordt genomen. Met name de invloed op accuduur is voor de meeste gebruikers interessant.

[Reactie gewijzigd door Eagle Creek op 23 juli 2024 20:39]

Verwijderd @Eagle Creek29 augustus 2011 17:56
Wel goed dat "de andere kant van de lijn" eens onder de loep wordt genomen. Met name de invloed op accuduur is voor de meeste gebruikers interessant.
Persoonlijk zou ik 10% accuduur op een lading nooit merken. De invloed van de signaal sterkte van de zenders is veel belangrijker voor dat. Mijn iPhone 5 gaat drie dagen meer in hartje Parijs maar slecht de helft daarvan in ons kantoor op het Franse platteland waar de dichtsbijzijnde zender in Berlijn lijkt te staan.
Keypunchie
@Verwijderd29 augustus 2011 19:19
[volkomen off-topic]

Ik snap dat je puur een stijlfiguur gebruikt, maar:

Volgens mij is er geen enkele plek in Frankrijk waar de afstand tot Berlijn kleiner is dan de afstand tot Parijs...

De grensovergang bij Karlsruhe komt het dichtste bij. Afstand Karslruhe <-> Berlijn = 525,9 km, Karlsruhe <-> Parijs = 444,2 km.

Dus de dichtsbijzijnde zendmast op het Franse platteland kan nooit in Berlijn staan.

[/en nu ga ik rustig in een hoekje lopen tellen hoeveel tandenstokers er in dit pakje zitten]
Sorcerer8472
29 augustus 2011 17:42
Hmm, hierover gesproken: ik ben benieuwd of dhcp-verkeer die niet voor een toestel bedoeld is wordt gefilterd. Dit soort verkeer kan er denk ik wel voor zorgen dat het mobieltje in HSPA-modus heen en weer gaat en zo meer signallingverkeer + accu verbruikt.

Ook hoe niet-NAT-providers hiermee omgaan, daar ben ik wel benieuwd naar: als je een publiek IP hebt zijn alle poorten op je telefoon gewoon bereikbaar van buitenaf. Dus in theorie zie je ook portscans e.d. langskomen, ook deze triggeren extra verkeer naar een mobieltje.

Te korte timeoutwaarden zijn verder ook onlogisch op een mobiel netwerk inderdaad. Veel overhead bij telkens reconnecten en da's zowel voor server als client vervelend.
temp00 @Sorcerer847229 augustus 2011 20:17
Aangezien er wel meer (broadcast)-verkeer dan DHCP is, neem ik aan dat elke individuele tel in een (virtueel)broadcast-domein hangt.
Kalief 29 augustus 2011 18:28
worden poorten soms willekeurig toegekend

Gebeurt dit niet om veiligheidsredenen?
mashell @Kalief29 augustus 2011 21:53
problemen opleveren bij applicaties die nat-traversal nodig hebben, zoals voip-apps
En het levert een zij effect waar providers eigenlijk helemaal niet zo'n bezwaar tegen hebben.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq