Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 43 reacties
Submitter: bobwarley

Nokia stuurt wachtwoorden van e-mailaccounts die worden gemaakt met een 'e-mail wizard', langs de eigen servers, zo heeft een Finse blogger ontdekt. Waarom de wachtwoorden langs Nokia moeten, blijft vooralsnog een raadsel.

Nokia bevestigt dat details van een e-mailaccount versleuteld langs de servers van Nokia gaan, maar legt daarbij niet uit waarom dat gebeurt. "In sommige gevallen worden de accountdetails rechtstreeks naar de server van de mailprovider gestuurd,  maar in andere gevallen passeren zij op een veilige manier de servers, zonder dat ze daarbij worden opgeslagen."

De Finse blogger Harri van Mobile Matters kwam vorige maand tot de ontdekking dat Nokia's e-mail-wizard, die het instellen van e-mailaccounts op nieuwe toestellen makkelijk moet maken, de wachtwoorden doorstuurt naar de server van Nokia. Daar kwam hij achter door het http-verkeer in de gaten te houden. Overigens is er wel een oplossing voor mensen die niet willen dat hun wachtwoord naar de systemen van Nokia gaat: als in de wizard verkeerde informatie wordt ingevuld, komt deze met een alternatief, waarbij de informatie rechtstreeks naar de mailprovider gaat.

De kwestie komt voor Nokia op een slecht moment. De Finse fabrikant staat op het punt zijn zakelijke toestel E75 uit te brengen, waarbij het makkelijk instellen van e-mail het voornaamste verkoopargument zal worden.

Code die toestel naar Nokia stuurt
Moderatie-faq Wijzig weergave

Reacties (43)

Wat een humor. Het gros van de telefoon gebruikers en ook de internet mail gebruikers versturen hun wachtwoord als plain text over het grote boze net.

SMTP, IMAP en POP3 zijn standaard niet versleutelt. Dus even een pop accountje toevoegen zonder SSL en je legt je wachtwoord op straat neer.

idem voor alle niet SSL verbindingen.

@toaomatis
Akkoord. Maar wat ik bedoel is:
Veel mensen verwachten privacy, anonimiteit en bescherming van gegevens op het internet en zijn dan geschokt als ze iets als dit lezen.
En dat terwijl privacy, anonymiteit en bescherming van gegevens niet vanzelfsprekend is en erg veel moeite kost om dit te verkrijgen. (Het is niet vanzelfsprekend of standaard)

@gertvdijk
Ik heb het over default instellingen zoals janmodaal ze overneemt. Dus zoals het standaard staat ingesteld. Mijn punt. Je kan alles beveiligen. Maar default staat er erg veel open. en gaat er erg veel plain text over de lijn

[Reactie gewijzigd door 0vestel0 op 20 april 2009 15:59]

SMTP, IMAP en POP3 zijn standaard niet versleutelt. Dus even een pop accountje toevoegen zonder SSL en je legt je wachtwoord op straat neer.
Onwaar.
De dataoverdracht is bij non-SSL SMTP/POP3/IMAP dan wel onversleuteld, maar de authenticatie kan dan nog op verschillende manieren, waarbij gedacht kan worden aan CRAM-MD5, andere challenge-response technieken en ook 'plain'. Bij slechts alleen ondersteuning voor 'plain' zal je wachtwoord direct op straat liggen.

[Reactie gewijzigd door gertvdijk op 20 april 2009 15:38]

Akkoord, maar dat is echter niet de strekking van het artikel. Het *probleem* is dat Nokia de wachtwoorden als plaintext binnen KRIJGT. In zekere zin legaal.

Men vraagt nu (terecht) waarom dat gebeurt, immers heeft Nokia helemaal niets te zoeken in de WW van hun klanten.
Wat een ophef. Een korte blik op de getoonde code wijst uit dat Nokia de gegevens gebruikt om te proberen de juiste instellingen te detecteren voor het e-mailadres van de gebruiker. Dan hoeft die niet zelf te bedenken of het nou mail.domain.ext, pop.domain.ext, pop3.domain.ext of zelfs nog wat anders is. Om de vermoedelijk juiste instellingen te testen, laat Nokia een van z'n servers een aanmeldpoging doen. Daar is het wachtwoord nou eenmaal voor nodig. Dat zou ook op de telefoon zelf uitgevoerd kunnen worden, maar dat is trager en genereert meer dataverkeer.
Inderdaad, je krijgt vervolgens een XML response met de juiste configuratie:
https://ccds.serviceactiv...244&mnc=91&carrier=sonera

Maar dan nog vind ik het niet een al te fijne oplossing. Ik heb liever dat dit door de clients zelf bepaald zou worden, ondanks het (naar mijn idee vrij geringe) dataverkeer.

[Reactie gewijzigd door Erikvl87 op 20 april 2009 22:46]

Waarom zou je in het algemeen internetverkeer langs de servers van Nokia willen sturen? Niet alleen omdat de privacywaarborg twijfelachtig is, maar ook is het niet erg efficient om dataverkeer nodeloos om te leiden. Zeker als Nokia de gegevens versleutelt en niet opslaat, zie ik het nut niet. Overigens zie ik dat nut ook niet als ze de gegevens zouden opslaan, maar dan was de rel waarschijnlijk niet van de lucht ;)
Het kan wel nuttig zijn, nokia kan compressie toepassen zodat traffiek van zijn servers tot uw telefoon sneller/vlotter kan gebeuren. In nederland hebben ze ondertussen al gigalimieten op mobile telefonie, maar in belgië moet bij proximus het met 50MB doen of anders betaalde u blauw.
Dus er zijn in principe reden genoeg waarom wel internet verkeer via nokia servers te sturen (aka proxy), de vraag is waarom is dit niet zichtbaar en af te zetten.
Beetje Dubieus niet? Als ik een wachtwoord invoer heeft de fabrikant van het desbetreffende apparaat daar niets mee te maken.

Zeker als sopsop gelijk heeft, en de wachtwoorden gewoon in de URL staan, lijkt het me een vreemde gang van zaken. Als Nokia niet met een fatsoenlijke reden op de proppen komt denk ik dat het 'voornaamste verkoopargument' voor de E75 weleens het 'meest verzwegen verkoopargument' kan gaan worden.
De Finse fabrikant staat op het punt zijn zakelijke toestel E75 uit te brengen, waarbij het makkelijk instellen van e-mail het voornaamste verkoopargument zal worden.

Ai, als dat het unique selling point gaat worden van Nokia gaan ze toch echt wel de boot missen op de smartphone markt. Het makkelijk instellen van e-mail is een eenmalige handeling, wanneer het ingesteld is is het ingesteld. Hierbij dan ook nog dit soort dubieze praktijken hanteren pleit ook niet echt voor Nokia. Het lijkt erop alsof ze niet helemaal meer mee kunnen met de huidige complexiteit van interactie en technologie, en nu dus ook nog eens de focus verkeerd leggen. Ligt het aan mij, of lijkt het alsof de oude reuzen Nokia, Motorola en SE de strijd aan het verliezen zijn?

Als je kijkt naar de huidige spraakmakende merken in de mobiele sector, HTC, Apple, Palm, Google, Samsung, LG, zijn dit bijna allemaal bedrijven die niet vanaf dag 1 in deze sector actief waren.
Dit is wel lekker, hopelijk lijkt het uiteindelijk een hele domme debug-routine te zijn dat nooit uit de releasesoftware is uitgehaald, te zijn.

Anders zou dit toch wel heel verdacht lijken.
1) De verbinding is HTTPS, dus alleen de zender en Nokia kunnen dat lezen, tenzij een hacker het de moeite waard vindt om een mainframe (ter grootte van een paar huiskamers) een paar jaar te laten kauwen op jouw data... wat dus niet gaat gebeuren.

2) Als passwords in een hash worden verstuurt, dan kan Nokia deze niet lezen IMO. Het is alleen niet duidelijk of dit via een hash is verstuurd.

[Reactie gewijzigd door ByeSell op 20 april 2009 15:05]

De passwords worden dus niet in een hash verstuurd, maar wél onversleuteld in de url. Nu is het verkeer zelf wel SSL, maar de URL niet.
Érg slechte zaak van Nokia. Instellingen verifiëren kan je ook met alleen een mailhost doen; daar hoeft écht geen user/pass combinatie naar Nokia voor opgestuurd te worden.
Een HTTPS verbinding is gewoon HTTP over een SSL verbinding. Daarbij is van begin tot eind, alles versleuteld. Ook de URL.
Bij SSL wordt de url wel degelijk encoded verstuurd, de URL staat namelijk in de headers van je get of post.
versleutelt != hash he...
Ik denk dat hij dat wel weet, aangezien hij HTTPS strikt gescheiden houdt van HASH.

Daarnaast denk ik niet dat het in een hash verstuurd wordt aangezien er nu "topsecret" staat.

Anders had daar wel de md5 (oid) van "topsecret" gestaan.

Ik denk niet dat Nokia zit te wachten op hashed wachtwoorden. Derhalve zal het over plaintext over encrypted chanels gaan!
Ik denk niet dat Nokia zit te wachten op hashed wachtwoorden. Derhalve zal het over plaintext over encrypted chanels gaan!
Ik sta elke keer verbaasd over hoe paranoia sommige mensen zijn. Ik denk dus dat het Nokia geen ene moer kan schelen wat iemand's wachtwoord is.

Ze gebruiken waarschijnlijk gewoon hun server om te kijken of iemand iets vergeten is in de wizard of iets dergelijks. Dit hadden ze misschien beter niet kunnen doen, maar er zit geen slechte bedoeling achter IMO.
Of er niet iets slechts achter zit is niet belangrijk, je geeft tenslotte ook niet je hele salaris bij je buurman in bewaring en gaat van zijn goede trouw uit.
Geloven in goede trouw is leuk maar bijzonder naïef tegenwoordig, voorkomen dat je van goeder trouw uit moet gaan is beter. Als Nokia niets met de wachtwoorden moet dan hoeven ze deze ook niet te ontvangen. Dat ze dat wel doen zegt mij in elk geval iets over dat Nokia er toch iets mee zou willen of kunnen gaan doen. En dat alleen al zou zelfs jou aan het denken moeten zetten.
En dat alleen al zou zelfs jou aan het denken moeten zetten.
Het enige wat ik zeker weet is dat als Nokia de inhoud kent van mijn email, dan zijn zij juridisch MEDE-verantwoordelijk als deze email kwalijke zaken bevat.

En als je de marketing-waarde van de email afweegt tegen die verantwoordelijkheid, snap je dat het "grote boze" Nokia letterlijk niet wil weten wat er in iemand's email staat.

[Reactie gewijzigd door ByeSell op 20 april 2009 16:04]

dan zijn zij juridisch MEDE-verantwoordelijk als deze email kwalijke zaken bevat
Ik weet niet waarop je die mede verantwoordelijkheid baseert maar Nokia heeft in feite de rol van provider en is formeel niet aansprakelijk voor de inhoud van jouw mail. Sowieso is geen enkele provider verantwoordelijk voor wat gebruikers in hun e-mail plaatsen. Formeel zijn ze niet op de hoogte wat er in e-mail staat en je zult een harde noot moeten kraken als je onomstotelijk wilt kunnen aantonen dat dat wel het geval is.
ze hebben mijn gebruikersnaam en wachtwoord afgetapt...... (daar gaat het hele nieuwsbericht juist over)

er kan maar 1 reden zijn dat ze dat langs hun eigen machines laten lopen, namelijk omdat ze iets met deze data willen doen. Het enige wat je met deze data kan doen is inloggen op mijn mailaccount, dus dat zullen ze dan wel doen... (is dan de redenatie)
Dat denk jij, dat men jaren gaat zitten kauwen op jouw data, er is niemand die mij uit zeer, zeer goede bron kan vertellen dat dit allang geregeld is en alleen naar de buitenwacht toe als volkomen safe wordt gemeld. Helaas heb ik hier een zeer persoonlijk akkefietje mee met Ziggo en de Politie en het is nog veel erger dan je denkt in werkelijkheid.
Nokia bevestigt dat details van een e-mailaccount versleuteld langs de servers van Nokia gaan, maar legt daarbij niet uit waarom dat gebeurt. "In sommige gevallen worden de accountdetails rechtstreeks naar de server van de mailprovider gestuurd, maar in andere gevallen passeren zij op een veilige manier de servers, zonder dat ze daarbij worden opgeslagen."
Versleuteld? Omdat het een https verbinding is? Zo doen ze het af alsof ze zelf niets met de informatie kunnen. Het wachtwoord staat gewoon oversleuteld in de url |:(
Niet op geslagen op de Nokia servers... als dat zo is dan hoeven de wachtwoorden ook niet langs die server gestuurd te worden. Als Nokia er niets mee deed dan hadden ze ze ook niet langs hun servers hoeven sturen.
Mischien is het een manier van statestieken verzamelen over de services die gebruikt worden of een mogenlijkheid tot push email die uit eindelijk toch niet gebruikt wordt door Nokia.
Hoe dan ook en waar het ook voor "nodig" is, het is niet handig van Nokia om dit op deze manier te doen en ik denk eigenlijk dat het gewoon gaat om een QA afdeling die hier haar kans gemist heeft want dit had meteen op gepikt moeten worden en verwijdered tenzij er echt een goede reden voor is en dat laatste kan ik me niet voorstellen, dan had Nokia dat heus wel in de een of andere beschrijving vermeld.
Als verkeersgegevens van bezochte sites verplicht bewaard moeten blijven en het wachtoord word zoals het op het plaatje staat, onderdeel van de URI, verstuurd kan politie en justitie dus legaal jouw wachtwoord verkrijgen door de verkeergegevens op te vragen.
Kwalijke zaak.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True