Nokia onderschepte https-bezoeken gebruikers S40-telefoons
Nokia onderschepte het https-verkeer van gebruikers met een telefoon met het os S40, dat op budgettelefoons aanwezig is. Dat ontdekte een beveiligingsonderzoeker. De telecomfabrikant zegt dat te hebben gedaan om websites te comprimeren, zodat ze sneller worden geladen.
Beveiligingsonderzoeker Gaurang Pandya, die momenteel werkzaam is bij Unisys, heeft ontdekt dat Nokia op S40-telefoons https-verkeer tunnelde door zijn eigen servers. Ook http-verkeer werd onderschept. Het bedrijf serveerde gebruikers daarbij een eigen ssl-certificaat in plaats van dat van de website, zodat de browser geen alarm slaat. Dat is niet heel ongebruikelijk: ook Opera Mini doet dit, maar het was nog niet bekend dat ook de S40-browser zo opereerde.
Op de servers van Nokia werden https-websites ontsleuteld, gecomprimeerd en vervolgens weer versleuteld voor verzending naar de browser van de gebruiker. Inmiddels heeft Nokia een update voor de browser vrijgegeven, waarin een verandering wordt doorgevoerd: Nokia gebruikt niet langer een eigen certificaat. In plaats daarvan wordt ontsleuteld https-verkeer nu over http getunneld. Of verkeer nu niet meer wordt onderschept, is echter onduidelijk.
Een medewerker van Nokia schrijft in een reactie op het blog van Pandya dat het bedrijf voor de methode heeft gekozen om websites te kunnen comprimeren, zodat ze sneller laden. Tegenover TechWeekEurope zegt een woordvoerder dat gebruikers sneller kunnen surfen en data besparen. Inhoud van versleutelde communicatie wordt niet opgeslagen, bezweert de woordvoerder.
Beveiligingsonderzoeker Pandya tekent echter aan dat gebruikers buitengewoon veel vertrouwen in de handen van Nokia leggen door alle versleutelde communicatie door Nokia te laten ontsleutelen, zonder dat ze dat weten. Bovendien, tekent hij aan, houdt Nokia een lijst bij van url's die gebruikers bezoeken, hoewel de inhoud niet wordt opgeslagen. Dat is te lezen in de gebruikersvoorwaarden.
Reacties (71)
Ik ben benieuwd of hier nog een staarje vanaf komt.
Dit is gewoon een man-in-the middle attack!
Nokia zou nu volgens mij in theorie gewoon een session hijack kunnen doen, wanneer je bijvoorbeeld met je bankzaken bezig bent.
[Reactie gewijzigd door Extera op vrijdag 11 januari 2013 17:20]
Alsof je postbode je pakketjes uitpakt en in een ander doosje stopt, omdat dat makkelijker vervoert. En "pink omhoog" zweren dat ze niet kijken naar de inhoud. Eerlijk gezegd vraag ik me af wat de juridische aspecten hier zijn.
In ieder geval is het bepaald niet netjes.
http://www.opera.com/mobile/help/faq/#connection
Da's fijn als je van een internet banking web applicatie gebruik maakt of zo ...
Spoort niet hoor... megafaal. Ondermijnt de werking van https compleet. Volgens mij deed Vodafone dit trwns, of doet, met de proxy in het midden, soortgelijk alleen niet zo achterlijk om insecure terug te koppelen.http://www.opera.com/mobile/help/faq/#connection
Edit, wacht, het stukje 'onversleutelt naar de gebruiker' is dus het zorgwerkend stukje.
[Reactie gewijzigd door SinergyX op vrijdag 11 januari 2013 17:28]
Browser is wel wat beter nu dan de standaard
Is there any end-to-end security between my handset and — for example — paypal.com or my bank?
Opera Mini uses a transcoder server to translate HTML/CSS/JavaScript into a more compact format. It will also shrink any images to fit the screen of your handset. This translation step makes Opera Mini fast, small, and also very cheap to use. To be able to do this translation, the Opera Mini server needs to have access to the unencrypted version of the webpage. Therefore no end-to-end encryption between the client and the remote web server is possible.
If you need full end-to-end encryption, you should use a full web browser such as Opera Mobile.
bron: http://www.opera.com/mobile/help/faq/#connection
[Reactie gewijzigd door ChicaneBT op vrijdag 11 januari 2013 17:31]
Dit dus. Opera en Nokia hebben zo dus toegang tot al je data.If you do not trust Opera Software, make sure you do not use Opera Mini to enter any kind of sensitive information.
Hoewel ik het wel begrijp: data wordt steeds meer https, dan moet je wel zulke dingen doen als je erg krap in je datalimiet zit.
Maar ik denk dat ik toch maar van Opera Mini af stap.
Edit: overigens zit er in Opera Mobile ook een Turbo functie, die zou ik ook maar niet meer gebruiken.
[Reactie gewijzigd door Soldaatje op vrijdag 11 januari 2013 17:43]
Zo erg is het gelukkig ook weer niet:het feit dat ALLE verkeer tussen Nokia en de desbetreffende telefoon onversleuteld is
Ofwel: de data terug naar de gebruiker wordt wel degelijk geëncrypt. Weliswaar met hun eigen certificaat ipv het certificaat van de website waar je naar aan het kijken was, maar alsnog geëncrypt.Het bedrijf serveerde gebruikers daarbij een eigen ssl-certificaat in plaats van dat van de website, zodat de browser geen alarm slaat.
-edit: oeps, ik had even verder moeten lezen
[Reactie gewijzigd door Cristan op vrijdag 11 januari 2013 19:02]
Ik zou me meer druk maken als je een android telefoon hebt! Er word namelijk geregeld data
naar google gestuurt van gebruikers info en wat je met de telefoon doet!
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Sony Microsoft Games Politiek en recht Consoles
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
