Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Je geeft door gebruik te blijven maken van deze website, of door op 'akkoord' te klikken, toestemming voor het gebruik van cookies. Als je op 'niet akkoord' klikt wordt je doorgestuurd naar een cookievrije versie van de website met minder functionaltieit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Door Joost Schellevis, vrijdag 11 januari 2013 17:15, views: 35.617 •

Nokia onderschepte het https-verkeer van gebruikers met een telefoon met het os S40, dat op budgettelefoons aanwezig is. Dat ontdekte een beveiligingsonderzoeker. De telecomfabrikant zegt dat te hebben gedaan om websites te comprimeren, zodat ze sneller worden geladen.

Nokia logoBeveiligingsonderzoeker Gaurang Pandya, die momenteel werkzaam is bij Unisys, heeft ontdekt dat Nokia op S40-telefoons https-verkeer tunnelde door zijn eigen servers. Ook http-verkeer werd onderschept. Het bedrijf serveerde gebruikers daarbij een eigen ssl-certificaat in plaats van dat van de website, zodat de browser geen alarm slaat. Dat is niet heel ongebruikelijk: ook Opera Mini doet dit, maar het was nog niet bekend dat ook de S40-browser zo opereerde.

Op de servers van Nokia werden https-websites ontsleuteld, gecomprimeerd en vervolgens weer versleuteld voor verzending naar de browser van de gebruiker. Inmiddels heeft Nokia een update voor de browser vrijgegeven, waarin een verandering wordt doorgevoerd: Nokia gebruikt niet langer een eigen certificaat. In plaats daarvan wordt ontsleuteld https-verkeer nu over http getunneld. Of verkeer nu niet meer wordt onderschept, is echter onduidelijk.

Een medewerker van Nokia schrijft in een reactie op het blog van Pandya dat het bedrijf voor de methode heeft gekozen om websites te kunnen comprimeren, zodat ze sneller laden. Tegenover TechWeekEurope zegt een woordvoerder dat gebruikers sneller kunnen surfen en data besparen. Inhoud van versleutelde communicatie wordt niet opgeslagen, bezweert de woordvoerder.

Beveiligingsonderzoeker Pandya tekent echter aan dat gebruikers buitengewoon veel vertrouwen in de handen van Nokia leggen door alle versleutelde communicatie door Nokia te laten ontsleutelen, zonder dat ze dat weten. Bovendien, tekent hij aan, houdt Nokia een lijst bij van url's die gebruikers bezoeken, hoewel de inhoud niet wordt opgeslagen. Dat is te lezen in de gebruikersvoorwaarden.

Reacties (71)

Reactiefilter:-171068+147+29+30
Platte weergaveSorteer aflopendFaq
«  1  2  3  »
+2 R4gnax
vrijdag 11 januari 2013 17:22
Die nog een tikkie erger gemaakt wordt door het feit dat ALLE verkeer tussen Nokia en de desbetreffende telefoon onversleuteld is en ze via deze man in the middle attack juist een echte man in the middle attack triviaal maken.

Da's fijn als je van een internet banking web applicatie gebruik maakt of zo ...
+2 4np
zaterdag 12 januari 2013 00:56
Ik heb nog eens het oorspronkelijke artikel gelezen wat door een Indiër is geschreven, en ik ben eigenlijk tot de conclusie gekomen dat het allemaal toch wel meevalt (en heb dus mijn reactie herschreven).

In bovenstaand artikel wordt de indruk gewekt dat Nokia al het verkeer van de S40 via zijn servers proxy'd, en dat ze ook HTTPS connecties decrypten op hun servers en dan unencrypted uitserveren over HTTP. Dat is echter onjuist, want het wordt niet plaintext uitgeserveerd maar via TLS. De auteur van het artikel heeft het bij het verkeerde eind.

Het is inderdaad zo dat verkeer via Nokia wordt geproxy'd, maar het wordt niet unsecure uitgeserveerd. Sterker nog, het wordt nu minder secure uitgeserveerd.

Iemand anders heeft zijn eigen test uitgevoerd en komt tot een andere conclusie:
All of this simply confirms what Pandya observed, and what Nokia admitted. But what would cause this behavior? You would expect your web browser to receive certificates for the secure web site that it claims you are connected to. Apparently, Nokia browser on Pandya’s phone, and Nokia Xpress on Windows Phone 8, translate your requests to secure sites into requests to the Nokia proxy server before it ever leaves your phone. Commenters on Pandya’s post have been arguing about whether this constitutes a “man-in-the-middle” or not. I suppose that it’s more of a “man-in-the-client” that supports the second “man-in-the-middle” on the proxy.
Neemt niet weg dat ik persoonlijk vind dat Nokia van https verkeer af moet blijven, of er op zijn minst een configuratie setting voor moet maken.

[Reactie gewijzigd door 4np op zaterdag 12 januari 2013 11:12]

+2 Qua Salébra
vrijdag 11 januari 2013 17:43
Eigenlijk is het al langer bekend dat op Java gebaseerde browsers dit doen. Hoef je geen beveiligingonderzoeker voor te zijn. Het staat gewoon in de voorwaarden. De telefoontjes zijn vaak prepaid en wat langzamer, dus zo scheelt het kosten en de telefoon werkt ook nog redelijk snel.

Echter, wat wel belangrijk is is keuze. Als je Android/IOS/Windows Phone gebruikt heb je keuze uit browsers die data direct naar de server van de website doorsturen en browsers die een tussenverbinding maken om te comprimeren, of om data van de gebruiker commercieel te exploiteren (die servers (+bandbreedte) zijn niet gratis).

Als je echter JavaME, Symbian (S40), of een ander wat lichter OS gebruikt ben je vaak aangewezen op de ingebouwde browser, Opera Mini en UCBrowser http://www.ucweb.com/English/UCbrowser/download.html. UCBrowser is een wat exotische browser maar heeft wel als voordeel (als enige voor JavaME) dat je de proxyverbinding zelf aan en uit kunt zetten.

Op dit item kan niet meer gereageerd worden.

«  1  2  3  »

Onderwerpen

Gerelateerde content

Alle gerelateerde content (9)

© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies

Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True

Website van het jaar 2012