Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 71, views: 35.907 •

Nokia onderschepte het https-verkeer van gebruikers met een telefoon met het os S40, dat op budgettelefoons aanwezig is. Dat ontdekte een beveiligingsonderzoeker. De telecomfabrikant zegt dat te hebben gedaan om websites te comprimeren, zodat ze sneller worden geladen.

Nokia logoBeveiligingsonderzoeker Gaurang Pandya, die momenteel werkzaam is bij Unisys, heeft ontdekt dat Nokia op S40-telefoons https-verkeer tunnelde door zijn eigen servers. Ook http-verkeer werd onderschept. Het bedrijf serveerde gebruikers daarbij een eigen ssl-certificaat in plaats van dat van de website, zodat de browser geen alarm slaat. Dat is niet heel ongebruikelijk: ook Opera Mini doet dit, maar het was nog niet bekend dat ook de S40-browser zo opereerde.

Op de servers van Nokia werden https-websites ontsleuteld, gecomprimeerd en vervolgens weer versleuteld voor verzending naar de browser van de gebruiker. Inmiddels heeft Nokia een update voor de browser vrijgegeven, waarin een verandering wordt doorgevoerd: Nokia gebruikt niet langer een eigen certificaat. In plaats daarvan wordt ontsleuteld https-verkeer nu over http getunneld. Of verkeer nu niet meer wordt onderschept, is echter onduidelijk.

Een medewerker van Nokia schrijft in een reactie op het blog van Pandya dat het bedrijf voor de methode heeft gekozen om websites te kunnen comprimeren, zodat ze sneller laden. Tegenover TechWeekEurope zegt een woordvoerder dat gebruikers sneller kunnen surfen en data besparen. Inhoud van versleutelde communicatie wordt niet opgeslagen, bezweert de woordvoerder.

Beveiligingsonderzoeker Pandya tekent echter aan dat gebruikers buitengewoon veel vertrouwen in de handen van Nokia leggen door alle versleutelde communicatie door Nokia te laten ontsleutelen, zonder dat ze dat weten. Bovendien, tekent hij aan, houdt Nokia een lijst bij van url's die gebruikers bezoeken, hoewel de inhoud niet wordt opgeslagen. Dat is te lezen in de gebruikersvoorwaarden.

Reacties (71)

Op dit item kan niet meer gereageerd worden.