Nokia entschlüsselt HTTPS-Traffic von Asha-Smartphones

Nokia hat zugegeben, dass es nach HTTPS verschlüsselten Internet-Traffic seiner Nutzer abfängt und temporär entschlüsselt. Das geschehe aber nur zum Vorteil der Kunden, die man keineswegs ausschnüffle. Der Sicherheitsforscher Gaurang Pandya hatte das Vorgehen Nokias gestern in einem Blogbeitrag öffentlich gemacht und scharf kritisiert.

Die Asha-Modelle 205 (links) und 206 kosten jeweils etwa 62 Dollar (Bild: Nokia).

Pandya arbeitet als Infrastructure Security Architect bei Unisys Global Services India. Schon im Dezember hatte er erstmals berichtet, dass Nokia Traffic seines Smartphones der Reihe Asha über eigene Proxy-Server leitet – was eigentlich auch kein Geheimnis ist, sondern eine beworbene Funktion. Gestern schloss er daran an mit dem Hinweis, auch verschlüsselte Anfragen liefen über Nokias Server. Er schrieb: “Die DNS-Anfrage ging an ‘cloud13.browser.ovi.com’, was der Host ist, an den auch HTTP-Traffic geschickt wurde.”

Daraufhin untersuchte Pandya die verwendeten Zertifikate und bemerkte, dass die Geräte so vorkonfiguriert sind, dass sie allen von Nokia-Servern ausgesandten Zertifikaten trauen. “Das ist der Grund, warum während dieses Man-in-the-Middle-Angriffs durch Nokia keine Sicherheitshinweise auftauchen.”

Nokia merkt dazu an, dass es den Traffic der Nutzer nur über seine Server leite, um ihn zu komprimieren, was alle Webdienste beschleunige und eine Funktion des Browsers Nokia Xpress sei. Eventueller verschlüsselter Traffic werde dazu zwar teilweise entschlüsselt, aber niemand sehe ihn je an.

An TechWeekEurope schreibt Nokia: “Wichtig ist, dass die Proxy-Server keine Inhalte der von Anwendern besuchten Webseiten speichern und auch keine von diesen eingegebenen Daten. Wenn eine zeitweilige Entschlüsselung von HTTPS-Verbindungen aus unseren Proxy-Servern nötig ist, um die Inhalte umzuwandeln und auszuliefern, dann in einer sicheren Weise.” Es gebe auch technische und organisatorische Maßnahmen, um einen Zugang zu diesen privaten Daten zu verhindern.

Allerdings kündigt Nokia auch an, die in seinem Client angebotenen Informationen zu überprüfen und möglicherweise zu verbessern. Andere Browseranbieter, die zur Kompression Proxy-Server einsetzen, gehen offener mit der Frage nach der Datensicherheit um. Opera beispielsweise entschlüsselt HTTPS-Traffic des Browsers Opera Mini ebenfalls in seinen Rechenzentren. “Die verschlüsselte SSL-Session wird zwischen dem Mini-Server und dem besuchten Webserver eingerichtet”, erklärte ein Sprecher. “Aber auch die Verbindung zwischen Mobilclient und Server ist abgesichert. Außer in unserem Rechenzentrum werden die Daten zu keinem Zeitpunkt unverschlüsselt übertragen. Wer aber Ende-zu-Ende-Verschlüsselung benötigt, sollte einen vollwertigen Browser wie Opera Mobile einsetzen.”

Wie aus einer gestern veröffentlichten Vorabmeldung hervorgeht, hat Nokia in seinem vierten Geschäftsquartal 9,3 Millionen Asha-Smartphones verkauft. Die Geräte mit der Benutzeroberfläche S40 kosten typischerweise unter 100 Euro. Sie sind insbesondere für Entwicklungsmärkte wie Indien oder Brasilien bestimmt.

[mit Material von Tom Brewster, TechWeekEurope.co.uk]

Neueste Kommentare 

3 Kommentare zu Nokia entschlüsselt HTTPS-Traffic von Asha-Smartphones

  • Am 11. Januar 2013 um 15:56 von Otternase

    Eine ziemliche Sauerei. Man stelle sich vor, dass die Post jeden Brief öffnen, und ‘automatisiert’ jeden Brieftext auf dünneres Papier schreiben würde. Dann würden einige rotieren.

    Ein starkes Stück. Für mich ein Grund kein Nokia zu kaufen, das so einen Mist beinhaltet.

  • Am 13. Januar 2013 um 00:13 von max

    Niemand wird es jeh lesen,wo ist jetzt das Problem ? Was heuken alle rum,nur weil komprimierte daten auf einen nokia server gehen,der dazu dient dein erlebnis zu verbessern ?!

    • Am 13. Januar 2013 um 11:05 von Hannes

      Nun, weil jemand jederzeit mitlesen KANN? Naiv ist, wer das ignoriert. Google, Facebook und Konsorten lesen ja sicher ebenfalls nie mit? ;-)

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *