Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 71 reacties, 36.250 views •

Nokia onderschepte het https-verkeer van gebruikers met een telefoon met het os S40, dat op budgettelefoons aanwezig is. Dat ontdekte een beveiligingsonderzoeker. De telecomfabrikant zegt dat te hebben gedaan om websites te comprimeren, zodat ze sneller worden geladen.

Nokia logoBeveiligingsonderzoeker Gaurang Pandya, die momenteel werkzaam is bij Unisys, heeft ontdekt dat Nokia op S40-telefoons https-verkeer tunnelde door zijn eigen servers. Ook http-verkeer werd onderschept. Het bedrijf serveerde gebruikers daarbij een eigen ssl-certificaat in plaats van dat van de website, zodat de browser geen alarm slaat. Dat is niet heel ongebruikelijk: ook Opera Mini doet dit, maar het was nog niet bekend dat ook de S40-browser zo opereerde.

Op de servers van Nokia werden https-websites ontsleuteld, gecomprimeerd en vervolgens weer versleuteld voor verzending naar de browser van de gebruiker. Inmiddels heeft Nokia een update voor de browser vrijgegeven, waarin een verandering wordt doorgevoerd: Nokia gebruikt niet langer een eigen certificaat. In plaats daarvan wordt ontsleuteld https-verkeer nu over http getunneld. Of verkeer nu niet meer wordt onderschept, is echter onduidelijk.

Een medewerker van Nokia schrijft in een reactie op het blog van Pandya dat het bedrijf voor de methode heeft gekozen om websites te kunnen comprimeren, zodat ze sneller laden. Tegenover TechWeekEurope zegt een woordvoerder dat gebruikers sneller kunnen surfen en data besparen. Inhoud van versleutelde communicatie wordt niet opgeslagen, bezweert de woordvoerder.

Beveiligingsonderzoeker Pandya tekent echter aan dat gebruikers buitengewoon veel vertrouwen in de handen van Nokia leggen door alle versleutelde communicatie door Nokia te laten ontsleutelen, zonder dat ze dat weten. Bovendien, tekent hij aan, houdt Nokia een lijst bij van url's die gebruikers bezoeken, hoewel de inhoud niet wordt opgeslagen. Dat is te lezen in de gebruikersvoorwaarden.

Reacties (71)

Reactiefilter:-171068+147+29+30
Moderatie-faq Wijzig weergave
Het artikel bewijst dus ook dat de Nokia Xpress Browser app voor Windows Phone het ook doet. Een reden dus om deze NIET te gebruiken, en gewoon IE10 te blijven gebruiken.
Nee, het blijkt dus dat wat Nokia doet wat anders is. Zij respecteren NIET het SSL/TLS verkeer!

http://gaurangkp.wordpress.com/2013/01/09/nokia-https-mitm/

En gewone tunnel was geen problem geweest, hier wordt het verkeer zélf aangetast:

From the tests that were preformed, it is evident that Nokia is performing Man In The Middle Attack for sensitive HTTPS traffic originated from their phone and hence they do have access to clear text information which could include user credentials to various sites such as social networking, banking, credit card information or anything that is sensitive in nature. In short, be it HTTP or HTTPS site when browsed through the phone in subject, Nokia has complete information unencrypted (in clear text format) available to them for them to use or abuse.
De turbo functie in de desktop en Mobile versie van Opera gaat uit wanneer je een https pagina laadt.

Maar Opera Mini kan geen html etc verwerken (daarom is het ook zo'n klein snel pakketje) Daarvoor wordt alles op de Opera servers gerenderd en in een eigen formaat aan de browser gestuurd.
Waardoor Opera mini, en minder data gebruikt, en ondersteuning heeft voor desktop technieken, zonder daar zelf de rekenkracht etc voor te moeten hebben.

Turbo is een caching proxy voor browsers die zelf html kunnen verwerken, die daarnaast compressie technieken op de data toepast.
De turbo functie is een functie in Opera Mobile om de proxy te gaan gebruiken. In Opera mini is echter de proxy standaard.
Het is een soort van cloud service waar een server een gedeelte van de processing voor zijn rekening neemt zondat de mobiel minder geheugen, CPU tijd en bandbreedte nodig heeft. Voor de webserver browse je dus vanaf de Nokia server zodat de authenticatie en encriptie tussen de Nokia server en de webserver is.

Het verkeer tussen Nokia server en mobiel is getunneld en hoeft niet persee HTTP of HTTPS te zijn maar om niet een heel andere browser te bouwen voor de mobiel is daar toch voor gekozen.
Het HTTPS verkeer tussen mobiel en Nokia server wordt ook door de browser in de mobiel aangepast zodat het door de Nokia server kan worden gebruikt om een sessie naar de webserver op te zetten.

Dus ja de client is aangepast.
Dat Nokia dit met S40 toestellen doet is niet nieuw hoor, iets vergelijkbaars doen ze ook al jaren met Symbian en dan specifiek met de e-mail. Nokia laat de e-mail van Symbian, o.a. Belle, toestellen default via de eigen servers lopen tenzij je daar, via een truukje, een stokje voor steekt en het handmatig instelt. Handmatige instelling zit er wel in maar is voor een leek vrij goed verborgen.
Als je dus op een Symbian Belle toestel de e-mail wizard volgt, wat de meesten gedaan zullen hebben, gaat e-mail via de servers van Nokia. Hoezo privacy en security? Maar goed, niemand heeft iets te verbergen dus waarom zouden we ons daar nog druk over maken. Toch?
Geluk is voor de onnozelen Geinteresseerden krijgen vaak een onrustig gevoel van gesloten softeware op kritische apparaten in een (ooit.. ja weet realiseert zich dat nog?...) zwaar bevochten democratie, maar het is een snel veranderende wereld en aspirant-monopolisten en allerlei machtsblokken knabbelen aan het systeem. Nokia is OOK goed bezig: ze verkopen (maar niet in NL!) de N9 (een open source telefoon) je kan kiezen voor een open-source browser (FireFox bijv). Ik heb zo'n N9. Het blijft oppassen, maar het is een andere gevoel. De N9 is een stap in de goeie richting, denk ik, als ik de discussie hier lees.
Als die turbo functie uit staat wordt het verkeer niet over die proxy verstuurd
Wat is je reactie waard als je het artikel niet leest? Ik snap mensen niet die reageren om dat ze aandacht willen, koop een sexpop ofzo.
Boeie, alleen al het feit dat een Provider JOU beveiligde verbinding manipuleert is al genoeg redenen om deze provider vaarwel te zeggen.
Of misschien is dit dan wel Nokia's doodsvonnis?
Grote kans dat er in elk geval koppen voor gaan rollen. Dat zou voor een blunder van deze orde in elk geval heel, heel terecht zijn. (Een fikse boete vanuit het CBP zou trouwens ook niet misstaan.)
je mod status laat genoeg zien,

het is wettelijk verboden om iemands verkeer af te luisteren zonder wettelijke basis (lees zonder dat je daar expliciet toestemming toe hebt), er had DUS 1: een waarschuwing naar de gebruiker moeten zijn, en 2: een optin (of in ieder geval een opt-out) voor moeten zijn..

dat ze het nu met deze update nog veel erger maken is TE bizar voor woorden, nokia vertrouwen is 1 ding, je bankzaken onversleuteld afhandelen nog iets heel anders... en weet u gemiddelde s40 gebruikers gaan het verschil niet merken... TOT er ineens 3 porches op hun saldo worden afgetikt...

ik hoop voor nokia's toekomstige ex-klanten dat banken als de rabo etc deze browser per direct blokkeren tot nader beveiligings onderzoek ...

nokia out... ik hoop op een miljarden boete
Dat kan, maar dan kan een echte hacker weer doen alsof ze Nokia zijn. Door een Nokia certificaat te gebruiken, zorgt Nokia dat zij de enigen zijn die mogen spioneren :-)
ik vraag me eigenlijk af hoe nuttig dat is als het waar is wat nokia zegt..waarom zou je je eigen certificaat tonen..je ontwikkelt toch zelf dat OS...kun je toch ook zo programmeren dat het certificaat goed gekeurd wordt???
tja bye bye securety
Waar HuRRaCaNe volgens mij op doelt zijn dingen als packeteers/proxy-servers etc voor wan's. Die dingen bevatten idd settings om ook https te decrypten en na inspectie / compressie weer te encrypten.
[...]
Wanneer je controle hebt over je client en deze goed ingesteld is, is het gewoon niet mogelijk om https/ssl/tls verkeerd te ontsleutelen tenzij de private key van de entiteit waarmee je wilt communiceren bekend is - ook niet op bedrijfsnetwerken.
Er wordt ook helemaal niets verkeerd ontsleuteld. Jouw client vraagt keurig netjes een beveiligde pagina op bij de interne server, interne server vraagt hierna zelf de beveiligde pagina op bij de bank server, krijgt deze leesbaar binnen en encrypt hem om hem weer door te zetten naar de client (want die wilde hem encrypted hebben)

Nergens wordt er iets "verkeerd" ontsleuteld, alles gaat 100% volgens bedoeling. Enkel is de client ontkoppeld van de eindserver waardoor er geen verificatie kan plaatsvinden of het de juiste encryptie is.
kom op allemaal stel jullie niet aan denken jullie dat andere browsers dat niet doen!
Ik zou me meer druk maken als je een android telefoon hebt! Er word namelijk geregeld data
naar google gestuurt van gebruikers info en wat je met de telefoon doet!

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True