Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 71 reacties, 36.103 views •

Nokia onderschepte het https-verkeer van gebruikers met een telefoon met het os S40, dat op budgettelefoons aanwezig is. Dat ontdekte een beveiligingsonderzoeker. De telecomfabrikant zegt dat te hebben gedaan om websites te comprimeren, zodat ze sneller worden geladen.

Nokia logoBeveiligingsonderzoeker Gaurang Pandya, die momenteel werkzaam is bij Unisys, heeft ontdekt dat Nokia op S40-telefoons https-verkeer tunnelde door zijn eigen servers. Ook http-verkeer werd onderschept. Het bedrijf serveerde gebruikers daarbij een eigen ssl-certificaat in plaats van dat van de website, zodat de browser geen alarm slaat. Dat is niet heel ongebruikelijk: ook Opera Mini doet dit, maar het was nog niet bekend dat ook de S40-browser zo opereerde.

Op de servers van Nokia werden https-websites ontsleuteld, gecomprimeerd en vervolgens weer versleuteld voor verzending naar de browser van de gebruiker. Inmiddels heeft Nokia een update voor de browser vrijgegeven, waarin een verandering wordt doorgevoerd: Nokia gebruikt niet langer een eigen certificaat. In plaats daarvan wordt ontsleuteld https-verkeer nu over http getunneld. Of verkeer nu niet meer wordt onderschept, is echter onduidelijk.

Een medewerker van Nokia schrijft in een reactie op het blog van Pandya dat het bedrijf voor de methode heeft gekozen om websites te kunnen comprimeren, zodat ze sneller laden. Tegenover TechWeekEurope zegt een woordvoerder dat gebruikers sneller kunnen surfen en data besparen. Inhoud van versleutelde communicatie wordt niet opgeslagen, bezweert de woordvoerder.

Beveiligingsonderzoeker Pandya tekent echter aan dat gebruikers buitengewoon veel vertrouwen in de handen van Nokia leggen door alle versleutelde communicatie door Nokia te laten ontsleutelen, zonder dat ze dat weten. Bovendien, tekent hij aan, houdt Nokia een lijst bij van url's die gebruikers bezoeken, hoewel de inhoud niet wordt opgeslagen. Dat is te lezen in de gebruikersvoorwaarden.

Reacties (71)

Hoe werkt dit eigelijk met andere 'proxy optimizing browsers' systemen? Volgens mij had je voor android ook aantal van die snelle browsers die dmv proxy ook compressie toepassen, maar is dat dan enkel voor http verkeer?
Nee, ook hier word de end-to-end security gebroken. Maar dit staat ook in de handleiding.

http://www.opera.com/mobile/help/faq/#connection
Dus.. in principe is dit een gevalletje 'Oh kijk, Nokia doet het ook', net als alle andere proxy-optimizer services.

Edit, wacht, het stukje 'onversleutelt naar de gebruiker' is dus het zorgwerkend stukje.

[Reactie gewijzigd door SinergyX op 11 januari 2013 17:28]

Wellicht is het een gevalletje "oh, Nokia doet het ook" maar blijkbaar wisten mensen helemaal niet dat Nokia het deed en dat is toch wel enigzins kwalijk te noemen.
Opera vermeldt op zijn website dat ze dit doen.
Nokia heeft nooit gemeld dat ze dit doen, waardoor gebruikers onterecht de aanname hebben kunnen doen dat het NIET zo was.
Wat een buitengewoon kwalijke zaak.
Ik ben benieuwd of hier nog een staarje vanaf komt.

Dit is gewoon een man-in-the middle attack!
Nokia zou nu volgens mij in theorie gewoon een session hijack kunnen doen, wanneer je bijvoorbeeld met je bankzaken bezig bent.

[Reactie gewijzigd door Extera op 11 januari 2013 17:20]

Die nog een tikkie erger gemaakt wordt door het feit dat ALLE verkeer tussen Nokia en de desbetreffende telefoon onversleuteld is en ze via deze man in the middle attack juist een echte man in the middle attack triviaal maken.

Da's fijn als je van een internet banking web applicatie gebruik maakt of zo ...
het feit dat ALLE verkeer tussen Nokia en de desbetreffende telefoon onversleuteld is
Zo erg is het gelukkig ook weer niet:
Het bedrijf serveerde gebruikers daarbij een eigen ssl-certificaat in plaats van dat van de website, zodat de browser geen alarm slaat.
Ofwel: de data terug naar de gebruiker wordt wel degelijk geŽncrypt. Weliswaar met hun eigen certificaat ipv het certificaat van de website waar je naar aan het kijken was, maar alsnog geŽncrypt.

-edit: oeps, ik had even verder moeten lezen

[Reactie gewijzigd door Cristan op 11 januari 2013 19:02]

Zoals ik en R4gnax het lezen dus wel:
Inmiddels heeft Nokia een update voor de browser vrijgegeven, waarin een verandering wordt doorgevoerd: Nokia gebruikt niet langer een eigen certificaat. In plaats daarvan wordt ontsleuteld https-verkeer nu als http-verkeer doorgestuurd, wat tot gevolg heeft dat beveiligd verkeer tussen de servers van Nokia en de gebruiker onbeveiligd wordt verzonden.
Nee, in het bericht staat dat Nokia een update heeft uitgebracht waardoor verkeer nu gewoon als http verkeer wordt verzonden, onversleuteld dus!

Wat ik behoorlijk bizar vind is dat er geen keuzemogelijkheid lijkt te zijn. Naar mijn weten moet je het bij bijvoorbeeld opera zelf aanzetten net als bij andere services.

-edit- = reactie op Cristan

[Reactie gewijzigd door terror538 op 11 januari 2013 18:55]

Wat is je reactie waard als je het artikel niet leest? Ik snap mensen niet die reageren om dat ze aandacht willen, koop een sexpop ofzo.
je mod status laat genoeg zien,

het is wettelijk verboden om iemands verkeer af te luisteren zonder wettelijke basis (lees zonder dat je daar expliciet toestemming toe hebt), er had DUS 1: een waarschuwing naar de gebruiker moeten zijn, en 2: een optin (of in ieder geval een opt-out) voor moeten zijn..

dat ze het nu met deze update nog veel erger maken is TE bizar voor woorden, nokia vertrouwen is 1 ding, je bankzaken onversleuteld afhandelen nog iets heel anders... en weet u gemiddelde s40 gebruikers gaan het verschil niet merken... TOT er ineens 3 porches op hun saldo worden afgetikt...

ik hoop voor nokia's toekomstige ex-klanten dat banken als de rabo etc deze browser per direct blokkeren tot nader beveiligings onderzoek ...

nokia out... ik hoop op een miljarden boete
Ik heb nog eens het oorspronkelijke artikel gelezen wat door een IndiŽr is geschreven, en ik ben eigenlijk tot de conclusie gekomen dat het allemaal toch wel meevalt (en heb dus mijn reactie herschreven).

In bovenstaand artikel wordt de indruk gewekt dat Nokia al het verkeer van de S40 via zijn servers proxy'd, en dat ze ook HTTPS connecties decrypten op hun servers en dan unencrypted uitserveren over HTTP. Dat is echter onjuist, want het wordt niet plaintext uitgeserveerd maar via TLS. De auteur van het artikel heeft het bij het verkeerde eind.

Het is inderdaad zo dat verkeer via Nokia wordt geproxy'd, maar het wordt niet unsecure uitgeserveerd. Sterker nog, het wordt nu minder secure uitgeserveerd.

Iemand anders heeft zijn eigen test uitgevoerd en komt tot een andere conclusie:
All of this simply confirms what Pandya observed, and what Nokia admitted. But what would cause this behavior? You would expect your web browser to receive certificates for the secure web site that it claims you are connected to. Apparently, Nokia browser on Pandya’s phone, and Nokia Xpress on Windows Phone 8, translate your requests to secure sites into requests to the Nokia proxy server before it ever leaves your phone. Commenters on Pandya’s post have been arguing about whether this constitutes a “man-in-the-middle” or not. I suppose that it’s more of a “man-in-the-client” that supports the second “man-in-the-middle” on the proxy.
Neemt niet weg dat ik persoonlijk vind dat Nokia van https verkeer af moet blijven, of er op zijn minst een configuratie setting voor moet maken.

[Reactie gewijzigd door 4np op 12 januari 2013 11:12]

Toch kan ik me wel vinden in wat Red_Inc zegt. Een kleine 275 miljoen opera gebruikers maken gebruik van dezelfde faciliteiten, een kleine 1,5 miljard mobieltjes met S40 zijn verkocht en nog een kleine 80 miljoen actieve Blackberry gebruikers. Immers ook RIM comprimeerd traffic (al weet ik niet of ze ook https de/encrypten). Dus ja er zijn nog wel een paar gebruikers die dergelijke technieken toestaan. Het concept is dan ook niet verkeerd, het beperken van de data en het verhogen van de throughput het probleem zit er eerder in dat dit niet openbaar bekend is zoals voor een kleine 355 miljoen andere mobiele gebruikers.

Wat wel kwalijk is en dat is een ander verhaal dat men nu gaat decrypten en vervolgens als http doorstuurt. Ik kan me dit eerlijk gezegd dan ook moeilijk voorstellen dat dit daadwerkelijk gaat gebeuren.

Dus ja het is inderdaad een storm in een glas water gezien hoeveel gebruikers willes en wetens gebruik maken van een practische techniek.
Heel goed om de bron er bij te pakken. Het is wel weer een niet-noodzakelijk stapje de verkeerde kant op. En Nokia moet op tijd melden als het zoiets gaat doen. De klant die dit interessant vindt moet het tevoren weten. Nu moeten oplettende technici de argeloze gemakzoekende leken elke keer overtuigen dat er weer een relletje geschot moet worden in de media (de naam Nokia prijkt even aan de media-schandpaal, dat is het sysyeem) om zo de communicatie niet stapje voor stapje te laten afglijden naar een voor alle soorten dissidenten onmogelijke situatie. Maar tegelijk: het concept privacy moet eigenlijk opnieuw in de hoofden van de nieuwe generaties terecht komen.
doet opera-mini dit ook niet?
Niet met HTTPS verkeer mag ik hopen?
Opera Mini rendert de pagina op zijn servers en stuurt hem vervolgens terug naar je mobiele device. Voor zover ik weet ontsleutelen ze geen https verkeer maar sturen ze dat 1 op 1 door.
Dat doen ze dus wel, anders is het niet mogelijk.
http://www.opera.com/mobile/help/faq/#connection
Alles is wel secure in het proces tussen client en uiteindelijk weer te geven website. Alleen hoe gevaarlijk is het dat er geen end-to-end security is?
Is there any end-to-end security between my handset and — for example — paypal.com or my bank?

Opera Mini uses a transcoder server to translate HTML/CSS/JavaScript into a more compact format. It will also shrink any images to fit the screen of your handset. This translation step makes Opera Mini fast, small, and also very cheap to use. To be able to do this translation, the Opera Mini server needs to have access to the unencrypted version of the webpage. Therefore no end-to-end encryption between the client and the remote web server is possible.

If you need full end-to-end encryption, you should use a full web browser such as Opera Mobile.
bron: http://www.opera.com/mobile/help/faq/#connection

[Reactie gewijzigd door ChicaneBT op 11 januari 2013 17:31]

If you do not trust Opera Software, make sure you do not use Opera Mini to enter any kind of sensitive information.
Dit dus. Opera en Nokia hebben zo dus toegang tot al je data.
Hoewel ik het wel begrijp: data wordt steeds meer https, dan moet je wel zulke dingen doen als je erg krap in je datalimiet zit.
Maar ik denk dat ik toch maar van Opera Mini af stap.
Edit: overigens zit er in Opera Mobile ook een Turbo functie, die zou ik ook maar niet meer gebruiken.

[Reactie gewijzigd door Soldaatje op 11 januari 2013 17:43]

Als die turbo functie uit staat wordt het verkeer niet over die proxy verstuurd
De turbo functie is een functie in Opera Mobile om de proxy te gaan gebruiken. In Opera mini is echter de proxy standaard.
De turbo functie in de desktop en Mobile versie van Opera gaat uit wanneer je een https pagina laadt.

Maar Opera Mini kan geen html etc verwerken (daarom is het ook zo'n klein snel pakketje) Daarvoor wordt alles op de Opera servers gerenderd en in een eigen formaat aan de browser gestuurd.
Waardoor Opera mini, en minder data gebruikt, en ondersteuning heeft voor desktop technieken, zonder daar zelf de rekenkracht etc voor te moeten hebben.

Turbo is een caching proxy voor browsers die zelf html kunnen verwerken, die daarnaast compressie technieken op de data toepast.
waarom gaat er ueberhaupt verkeer naar nokia, en niet gewoon alleen maar langs je telefoonprovider?
Dit is een methode om je dataverkeer te verminderen over het mobiele netwerk. Jij doet een http-request, en dit wordt eerst naar de servers van Nokia gestuurd. Zij ontvangen de data, comprimeren deze (bijvoorbeeld kwaliteit plaatjes degraden) en daardoor heb jij een veel lager dataverbruik dan bij een reguliere verbinding.
Ze kunnen linksom of rechtsom dit punt proberen te draaien, maar het komt er op neer: Nokia doet een Man-in-the-Middle aanval op al zijn gebruikers en dat is schandalig.

Alsof je postbode je pakketjes uitpakt en in een ander doosje stopt, omdat dat makkelijker vervoert. En "pink omhoog" zweren dat ze niet kijken naar de inhoud. Eerlijk gezegd vraag ik me af wat de juridische aspecten hier zijn.

In ieder geval is het bepaald niet netjes.
Maar de meeste S40 gebruikers zullen hier echt niet teleurgesteld door zijn. Die toestellen zijn niet de snelste van de wereld en optimalisatie als deze is, in veel gevallen, dan ook eerder gewenst door de eindgebruiker.

Zou misschien wel netjes geweest zijn als dit als een extra service gepresenteerd werd maar super erg is het nou ook weer niet..

Reacties hier op Tweakers doen vermoeden dat hier een of ander enorm groot privacy probleem is ontdekt. Vind dat meevallen.
Reacties hier op Tweakers doen vermoeden dat hier een of ander enorm groot privacy probleem is ontdekt. Vind dat meevallen.
Nokia verstuurt verkeer wat versleuteld behoord te zijn onversleuteld terug naar de eindgebruiker. Dat is een ongeloofijk privacy probleem. Dat is zoiets als dat nu naar buiten zou komen dat TNT post structureel het briefgeheim breekt.
Op zich is het geen probleem als het gemeld is en het een keuze is (zoals bij Opera Mini)

Het probleem zit hem er hier schijnbaar in dat het nergens gemeld werd en tja, dan ga je je op heel glad ijs begeven.
Het onversleuteld naar de gebruiker sturen is nieuw gedrag van de geupdate browser naar aanleiding van de berichtgeving.

Een gebruiker ziet nu dus _geen_ "slotje" en weet dat de verbinding onbeveiligd is.
De tunnel is waarschijnlijk zelf versleuteld zodat zelfs je HTTP verkeer versleuteld is.
HTTPS verkeer in de tunnel zou dan dubbelop versleuteld zijn. In principe browse je dus vanaf de Nokia server i.p.v. vanaf je mobiel.

Op zich (als de tunnel goed beveiligd is) geen verschil in privacy of je nu vanaf een Apple of Google OS mobiel of vanaf een Nokia server browsed. Je weet toch niet wat de telefoon zelf of de server allemaal bijhoud.

[Reactie gewijzigd door Jaco69 op 12 januari 2013 12:49]

En hoeveel mensen gebruiken een toestel dat op S40 draait om mee te internetten. Sporadisch misschien, het is niet echt een smartphone....
Mee eens.
Man-in-the-Middle ook toegepast op https verkeer is een "No Go".
Eigenlijk weten ze dus alles van je en vervolgens is de data ook niet meer versleuteld. Gelukkig voor iedereen neemt de verkoop van Symbian toestellen sterk af. Jammer genoeg voor de huidige gebruikers zitten ze nog wel opgescheept met deze privacy en beveiliging schendende praktijken van Nokia.
S40 is geen Symbian, telefoons met S40 zijn niet eens smartphones volgens de gangbare definitie. Je kunt er alleen van die java-meuk op installeren.
Eh WTF? Dus na de update nůg erger geworden. Je data wordt door Nokia als Man In The Middle ontcijferd en vervolgens wordt het ook nog eens geheel onbeveligd terug gestuurd? :X Spoort niet hoor... megafaal. Ondermijnt de werking van https compleet. Volgens mij deed Vodafone dit trwns, of doet, met de proxy in het midden, soortgelijk alleen niet zo achterlijk om insecure terug te koppelen.
Dit merk ik ook op mijn Nokia 302 :o
Browser is wel wat beter nu dan de standaard
kom op allemaal stel jullie niet aan denken jullie dat andere browsers dat niet doen!
Ik zou me meer druk maken als je een android telefoon hebt! Er word namelijk geregeld data
naar google gestuurt van gebruikers info en wat je met de telefoon doet!
Ja misschien wel inderdaad. Google mag best weten wat ik met mijn telefoon doe.
Wat ik liever niet heb is dat browsers zonder mij er van op de hoogte te stellen bankgegevens e.d. over het internet te sturen zonder enige vorm van versleuteling toe te passen.
Eigenlijk is het al langer bekend dat op Java gebaseerde browsers dit doen. Hoef je geen beveiligingonderzoeker voor te zijn. Het staat gewoon in de voorwaarden. De telefoontjes zijn vaak prepaid en wat langzamer, dus zo scheelt het kosten en de telefoon werkt ook nog redelijk snel.

Echter, wat wel belangrijk is is keuze. Als je Android/IOS/Windows Phone gebruikt heb je keuze uit browsers die data direct naar de server van de website doorsturen en browsers die een tussenverbinding maken om te comprimeren, of om data van de gebruiker commercieel te exploiteren (die servers (+bandbreedte) zijn niet gratis).

Als je echter JavaME, Symbian (S40), of een ander wat lichter OS gebruikt ben je vaak aangewezen op de ingebouwde browser, Opera Mini en UCBrowser http://www.ucweb.com/English/UCbrowser/download.html. UCBrowser is een wat exotische browser maar heeft wel als voordeel (als enige voor JavaME) dat je de proxyverbinding zelf aan en uit kunt zetten.

Op dit item kan niet meer gereageerd worden.



Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBSamsung

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True