Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 71 reacties, 36.123 views •

Nokia onderschepte het https-verkeer van gebruikers met een telefoon met het os S40, dat op budgettelefoons aanwezig is. Dat ontdekte een beveiligingsonderzoeker. De telecomfabrikant zegt dat te hebben gedaan om websites te comprimeren, zodat ze sneller worden geladen.

Nokia logoBeveiligingsonderzoeker Gaurang Pandya, die momenteel werkzaam is bij Unisys, heeft ontdekt dat Nokia op S40-telefoons https-verkeer tunnelde door zijn eigen servers. Ook http-verkeer werd onderschept. Het bedrijf serveerde gebruikers daarbij een eigen ssl-certificaat in plaats van dat van de website, zodat de browser geen alarm slaat. Dat is niet heel ongebruikelijk: ook Opera Mini doet dit, maar het was nog niet bekend dat ook de S40-browser zo opereerde.

Op de servers van Nokia werden https-websites ontsleuteld, gecomprimeerd en vervolgens weer versleuteld voor verzending naar de browser van de gebruiker. Inmiddels heeft Nokia een update voor de browser vrijgegeven, waarin een verandering wordt doorgevoerd: Nokia gebruikt niet langer een eigen certificaat. In plaats daarvan wordt ontsleuteld https-verkeer nu over http getunneld. Of verkeer nu niet meer wordt onderschept, is echter onduidelijk.

Een medewerker van Nokia schrijft in een reactie op het blog van Pandya dat het bedrijf voor de methode heeft gekozen om websites te kunnen comprimeren, zodat ze sneller laden. Tegenover TechWeekEurope zegt een woordvoerder dat gebruikers sneller kunnen surfen en data besparen. Inhoud van versleutelde communicatie wordt niet opgeslagen, bezweert de woordvoerder.

Beveiligingsonderzoeker Pandya tekent echter aan dat gebruikers buitengewoon veel vertrouwen in de handen van Nokia leggen door alle versleutelde communicatie door Nokia te laten ontsleutelen, zonder dat ze dat weten. Bovendien, tekent hij aan, houdt Nokia een lijst bij van url's die gebruikers bezoeken, hoewel de inhoud niet wordt opgeslagen. Dat is te lezen in de gebruikersvoorwaarden.

Reacties (71)

Reactiefilter:-171068+147+29+30
Moderatie-faq Wijzig weergave
Dat Nokia dit met S40 toestellen doet is niet nieuw hoor, iets vergelijkbaars doen ze ook al jaren met Symbian en dan specifiek met de e-mail. Nokia laat de e-mail van Symbian, o.a. Belle, toestellen default via de eigen servers lopen tenzij je daar, via een truukje, een stokje voor steekt en het handmatig instelt. Handmatige instelling zit er wel in maar is voor een leek vrij goed verborgen.
Als je dus op een Symbian Belle toestel de e-mail wizard volgt, wat de meesten gedaan zullen hebben, gaat e-mail via de servers van Nokia. Hoezo privacy en security? Maar goed, niemand heeft iets te verbergen dus waarom zouden we ons daar nog druk over maken. Toch?
ik vraag me eigenlijk af hoe nuttig dat is als het waar is wat nokia zegt..waarom zou je je eigen certificaat tonen..je ontwikkelt toch zelf dat OS...kun je toch ook zo programmeren dat het certificaat goed gekeurd wordt???
Dat kan, maar dan kan een echte hacker weer doen alsof ze Nokia zijn. Door een Nokia certificaat te gebruiken, zorgt Nokia dat zij de enigen zijn die mogen spioneren :-)
Geluk is voor de onnozelen Geinteresseerden krijgen vaak een onrustig gevoel van gesloten softeware op kritische apparaten in een (ooit.. ja weet realiseert zich dat nog?...) zwaar bevochten democratie, maar het is een snel veranderende wereld en aspirant-monopolisten en allerlei machtsblokken knabbelen aan het systeem. Nokia is OOK goed bezig: ze verkopen (maar niet in NL!) de N9 (een open source telefoon) je kan kiezen voor een open-source browser (FireFox bijv). Ik heb zo'n N9. Het blijft oppassen, maar het is een andere gevoel. De N9 is een stap in de goeie richting, denk ik, als ik de discussie hier lees.
Niet alleen de N9 maar ook de Lumia's hebben hier natuurlijk geen last van.
Op Windows Phone is de standaard browser IE9 of IE10, browserversies die natuurlijk niet via een Nokia proxy werken
kom op allemaal stel jullie niet aan denken jullie dat andere browsers dat niet doen!
Ik zou me meer druk maken als je een android telefoon hebt! Er word namelijk geregeld data
naar google gestuurt van gebruikers info en wat je met de telefoon doet!
Ja misschien wel inderdaad. Google mag best weten wat ik met mijn telefoon doe.
Wat ik liever niet heb is dat browsers zonder mij er van op de hoogte te stellen bankgegevens e.d. over het internet te sturen zonder enige vorm van versleuteling toe te passen.
Niets nieuws... Heb bepaald Anti Virus pakket hetzelfde al zien doen jaren geleden. Met pijnlijk gevolgen. Dat allemaal onder de mom van "malware" bescherming. De eindgebruiker wist niet, dat ieder pagina dat ze bezochten, ook bezocht werd door de "anti virus" hun servers. Tot zelf HTTPS en de POST gegevens, dat ze dupliceerde.

Grappig is, als een bank geen IP bescherming heeft, dan lukt dit grapje zelf om voorbij de random nummer generators te geraken ( identieke gegevens ingegeven op beide punten, met een x ms vertraging ).

Nooit een deftige excuus gekregen voor het extra werk dat we aan ons been hadden, door hun geknoei.
Was dit op het journaal staat dit morgen in de krant?
Nope, bijna niemand die er iets om geeft tot het fout gaat.
Dit merk ik ook op mijn Nokia 302 :o
Browser is wel wat beter nu dan de standaard
Eh WTF? Dus na de update nóg erger geworden. Je data wordt door Nokia als Man In The Middle ontcijferd en vervolgens wordt het ook nog eens geheel onbeveligd terug gestuurd? :X Spoort niet hoor... megafaal. Ondermijnt de werking van https compleet. Volgens mij deed Vodafone dit trwns, of doet, met de proxy in het midden, soortgelijk alleen niet zo achterlijk om insecure terug te koppelen.
WTF? Van https verkeer maken ze normaal onversleuteld verkeer? Leuk als je op een luchthaven zit of een ander netwerk met vreemden. Dan sniffen ze dus de inloggegevens van je FTP en bank enzo.

Dat dit mogelijk is en zomaar kan. Dit is toch niet normaal meer?

Of misschien is dit dan wel Nokia's doodsvonnis?
Of misschien is dit dan wel Nokia's doodsvonnis?
Grote kans dat er in elk geval koppen voor gaan rollen. Dat zou voor een blunder van deze orde in elk geval heel, heel terecht zijn. (Een fikse boete vanuit het CBP zou trouwens ook niet misstaan.)
Neem de moeite om de update of 11th January te lezen op de onderstaande site en het lijkt mij dat dit geen doodvonnis in welke hoedanigheid dan ook voor Nokia betekent.

http://gaurangkp.wordpress.com/2013/01/09/nokia-https-mitm/

In de nieuwste versie van betreffende browser doet het voornoemde probleem zich niet voor. Dit topic kan aldus dicht.

[Reactie gewijzigd door repeP op 12 januari 2013 22:22]

Eigenlijk weten ze dus alles van je en vervolgens is de data ook niet meer versleuteld. Gelukkig voor iedereen neemt de verkoop van Symbian toestellen sterk af. Jammer genoeg voor de huidige gebruikers zitten ze nog wel opgescheept met deze privacy en beveiliging schendende praktijken van Nokia.
S40 is geen Symbian, telefoons met S40 zijn niet eens smartphones volgens de gangbare definitie. Je kunt er alleen van die java-meuk op installeren.

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True