Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 71, views: 36.088 •

Nokia onderschepte het https-verkeer van gebruikers met een telefoon met het os S40, dat op budgettelefoons aanwezig is. Dat ontdekte een beveiligingsonderzoeker. De telecomfabrikant zegt dat te hebben gedaan om websites te comprimeren, zodat ze sneller worden geladen.

Nokia logoBeveiligingsonderzoeker Gaurang Pandya, die momenteel werkzaam is bij Unisys, heeft ontdekt dat Nokia op S40-telefoons https-verkeer tunnelde door zijn eigen servers. Ook http-verkeer werd onderschept. Het bedrijf serveerde gebruikers daarbij een eigen ssl-certificaat in plaats van dat van de website, zodat de browser geen alarm slaat. Dat is niet heel ongebruikelijk: ook Opera Mini doet dit, maar het was nog niet bekend dat ook de S40-browser zo opereerde.

Op de servers van Nokia werden https-websites ontsleuteld, gecomprimeerd en vervolgens weer versleuteld voor verzending naar de browser van de gebruiker. Inmiddels heeft Nokia een update voor de browser vrijgegeven, waarin een verandering wordt doorgevoerd: Nokia gebruikt niet langer een eigen certificaat. In plaats daarvan wordt ontsleuteld https-verkeer nu over http getunneld. Of verkeer nu niet meer wordt onderschept, is echter onduidelijk.

Een medewerker van Nokia schrijft in een reactie op het blog van Pandya dat het bedrijf voor de methode heeft gekozen om websites te kunnen comprimeren, zodat ze sneller laden. Tegenover TechWeekEurope zegt een woordvoerder dat gebruikers sneller kunnen surfen en data besparen. Inhoud van versleutelde communicatie wordt niet opgeslagen, bezweert de woordvoerder.

Beveiligingsonderzoeker Pandya tekent echter aan dat gebruikers buitengewoon veel vertrouwen in de handen van Nokia leggen door alle versleutelde communicatie door Nokia te laten ontsleutelen, zonder dat ze dat weten. Bovendien, tekent hij aan, houdt Nokia een lijst bij van url's die gebruikers bezoeken, hoewel de inhoud niet wordt opgeslagen. Dat is te lezen in de gebruikersvoorwaarden.

Reacties (71)

Hoe werkt dit eigelijk met andere 'proxy optimizing browsers' systemen? Volgens mij had je voor android ook aantal van die snelle browsers die dmv proxy ook compressie toepassen, maar is dat dan enkel voor http verkeer?
Wat een buitengewoon kwalijke zaak.
Ik ben benieuwd of hier nog een staarje vanaf komt.

Dit is gewoon een man-in-the middle attack!
Nokia zou nu volgens mij in theorie gewoon een session hijack kunnen doen, wanneer je bijvoorbeeld met je bankzaken bezig bent.

[Reactie gewijzigd door Extera op 11 januari 2013 17:20]

doet opera-mini dit ook niet?
waarom gaat er ueberhaupt verkeer naar nokia, en niet gewoon alleen maar langs je telefoonprovider?
Niet met HTTPS verkeer mag ik hopen?
Ze kunnen linksom of rechtsom dit punt proberen te draaien, maar het komt er op neer: Nokia doet een Man-in-the-Middle aanval op al zijn gebruikers en dat is schandalig.

Alsof je postbode je pakketjes uitpakt en in een ander doosje stopt, omdat dat makkelijker vervoert. En "pink omhoog" zweren dat ze niet kijken naar de inhoud. Eerlijk gezegd vraag ik me af wat de juridische aspecten hier zijn.

In ieder geval is het bepaald niet netjes.
Eigenlijk weten ze dus alles van je en vervolgens is de data ook niet meer versleuteld. Gelukkig voor iedereen neemt de verkoop van Symbian toestellen sterk af. Jammer genoeg voor de huidige gebruikers zitten ze nog wel opgescheept met deze privacy en beveiliging schendende praktijken van Nokia.
Nee, ook hier word de end-to-end security gebroken. Maar dit staat ook in de handleiding.

http://www.opera.com/mobile/help/faq/#connection
Opera Mini rendert de pagina op zijn servers en stuurt hem vervolgens terug naar je mobiele device. Voor zover ik weet ontsleutelen ze geen https verkeer maar sturen ze dat 1 op 1 door.
Die nog een tikkie erger gemaakt wordt door het feit dat ALLE verkeer tussen Nokia en de desbetreffende telefoon onversleuteld is en ze via deze man in the middle attack juist een echte man in the middle attack triviaal maken.

Da's fijn als je van een internet banking web applicatie gebruik maakt of zo ...
Dit is een methode om je dataverkeer te verminderen over het mobiele netwerk. Jij doet een http-request, en dit wordt eerst naar de servers van Nokia gestuurd. Zij ontvangen de data, comprimeren deze (bijvoorbeeld kwaliteit plaatjes degraden) en daardoor heb jij een veel lager dataverbruik dan bij een reguliere verbinding.
Eh WTF? Dus na de update nůg erger geworden. Je data wordt door Nokia als Man In The Middle ontcijferd en vervolgens wordt het ook nog eens geheel onbeveligd terug gestuurd? :X Spoort niet hoor... megafaal. Ondermijnt de werking van https compleet. Volgens mij deed Vodafone dit trwns, of doet, met de proxy in het midden, soortgelijk alleen niet zo achterlijk om insecure terug te koppelen.
Dat doen ze dus wel, anders is het niet mogelijk.
http://www.opera.com/mobile/help/faq/#connection
S40 is geen Symbian, telefoons met S40 zijn niet eens smartphones volgens de gangbare definitie. Je kunt er alleen van die java-meuk op installeren.
Dus.. in principe is dit een gevalletje 'Oh kijk, Nokia doet het ook', net als alle andere proxy-optimizer services.

Edit, wacht, het stukje 'onversleutelt naar de gebruiker' is dus het zorgwerkend stukje.

[Reactie gewijzigd door SinergyX op 11 januari 2013 17:28]

Dit merk ik ook op mijn Nokia 302 :o
Browser is wel wat beter nu dan de standaard
Alles is wel secure in het proces tussen client en uiteindelijk weer te geven website. Alleen hoe gevaarlijk is het dat er geen end-to-end security is?
Is there any end-to-end security between my handset and — for example — paypal.com or my bank?

Opera Mini uses a transcoder server to translate HTML/CSS/JavaScript into a more compact format. It will also shrink any images to fit the screen of your handset. This translation step makes Opera Mini fast, small, and also very cheap to use. To be able to do this translation, the Opera Mini server needs to have access to the unencrypted version of the webpage. Therefore no end-to-end encryption between the client and the remote web server is possible.

If you need full end-to-end encryption, you should use a full web browser such as Opera Mobile.
bron: http://www.opera.com/mobile/help/faq/#connection

[Reactie gewijzigd door ChicaneBT op 11 januari 2013 17:31]

If you do not trust Opera Software, make sure you do not use Opera Mini to enter any kind of sensitive information.
Dit dus. Opera en Nokia hebben zo dus toegang tot al je data.
Hoewel ik het wel begrijp: data wordt steeds meer https, dan moet je wel zulke dingen doen als je erg krap in je datalimiet zit.
Maar ik denk dat ik toch maar van Opera Mini af stap.
Edit: overigens zit er in Opera Mobile ook een Turbo functie, die zou ik ook maar niet meer gebruiken.

[Reactie gewijzigd door Soldaatje op 11 januari 2013 17:43]

het feit dat ALLE verkeer tussen Nokia en de desbetreffende telefoon onversleuteld is
Zo erg is het gelukkig ook weer niet:
Het bedrijf serveerde gebruikers daarbij een eigen ssl-certificaat in plaats van dat van de website, zodat de browser geen alarm slaat.
Ofwel: de data terug naar de gebruiker wordt wel degelijk geŽncrypt. Weliswaar met hun eigen certificaat ipv het certificaat van de website waar je naar aan het kijken was, maar alsnog geŽncrypt.

-edit: oeps, ik had even verder moeten lezen

[Reactie gewijzigd door Cristan op 11 januari 2013 19:02]

kom op allemaal stel jullie niet aan denken jullie dat andere browsers dat niet doen!
Ik zou me meer druk maken als je een android telefoon hebt! Er word namelijk geregeld data
naar google gestuurt van gebruikers info en wat je met de telefoon doet!

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013