Non sono abbastanza sicuro di quello che chiedi "[w] potrebbe essere possibile farlo con qualsiasi software esistente?" Stai chiedendo se ci sono soluzioni software esistenti che possono iniettare script in una sessione web?
Immagino che tu stia chiedendo il "perché" e "come" e le implicazioni dal punto di vista del rischio. Innanzitutto, quando si è su una rete pubblica (la rete wifi dell'hotel è piuttosto pubblica), la connessione attraversa la rete dell'hotel (di solito in outsourcing per alcuni fornitori). Con il traffico HTTP in chiaro, un apparecchio (solitamente un dispositivo basato su Linux) può essere implementato in linea (logicamente o fisicamente) per intercettare, monitorare e modificare il traffico secondo alcuni set di regole / policy definita. I proxy di inoltro sono un'implementazione abbastanza comune di dispositivi che intercettano il traffico web in uscita. I proxy di inoltro possono essere distribuiti in modo tale che tutto il traffico HTTP e HTTPS venga terminato sul proxy prima di continuare nella destinazione prevista.
I proxy di inoltro (e altre tecnologie per intercettare, modificare, monitorare) vengono comunemente utilizzati nelle impostazioni aziendali. Di solito sono distribuiti anche in biblioteche, su Amtrak, su Internet wireless in gogo wireless e in molte altre aree pubbliche). Di solito vengono impiegati per assicurarsi che le persone non stiano facendo cose che non dovrebbero fare e per proteggere il provider di rete dalla responsabilità legale (ad esempio il kiddie porn). Tuttavia, la tecnologia può essere implementata per consentire più ... obiettivi discutibili. Nel caso dei gateway di estrazione dei ricavi (RXG), vengono implementati dai provider di rete per fare soldi con i propri utenti.
I siti HTTPS rappresentano una sfida unica. A causa dell'architettura e dei passaggi di convalida, il proxy forward deve essere in grado di "falsificare" un certificato "valido" che il browser considera affidabile. Solitamente l'intercettazione di https è implementata solo nelle impostazioni aziendali e nelle reti aziendali (dove gli utenti non hanno davvero molto in termini di privacy). Pertanto, se esegui il browser dei siti HTTPS nelle posizioni in cui vengono distribuiti i RXG, probabilmente non sarai soggetto all'iniezione di script di terze parti, dannosi o meno. Sono stati verificati report in cui una CA pubblica ha tagliato una subCA per determinate distribuzioni, quindi non vi è alcuna garanzia che un sito HTTPS sia valido a meno che non si sia a conoscenza di PKI.