Dlaczego Nokia (i Opera, i Amazon) tunelują ruch ze swoich przeglądarek mobilnych?
W ten sam sposób co Xpress Browser Nokii zachowuje się Opera Mini, czy też przeglądarka Amazonu — Silk (ta ostatnia przechwytuje tylko HTTP, nie HTTPS). Cel wszystkich przeglądarek mobilnych jest jeden — przyśpieszyć przez rekompresję oglądanie stron na telefonie i oszczędzić klientowi wykupiony u operatora pakiet danych. W skrócie: Telefon odpytuje po DNS domenę, ale zamiast oryginalnego IP dostaje IP serwera z chmury Nokii. Serwer ten w imieniu użytkownika odwiedza żądaną stronę (na szybkim łączu), następnie kompresuje ją, dzięki czemu może szybciej przesłać treści na telefon. Telefon jest więc niejako terminalem dostępowym do serwera, który w jego imieniu pobiera i wyświetla strony internetowe.
HTTPS – Atak Man in the Middle
Oczywiście, żeby uniknąć wyświetlania “ostrzeżenia” przed błędnym certyfikatem przy połączeniach HTTPS (które przecież nie terminują się na oryginalnym serwerze, a na serwerze proxy Nokii), Nokia wstrzykuje własny certyfikat SSL do telefonu i oznacza go jako “zaufane CA”. W praktyce Nokia wykonuje więc atak “Man in the Middle” — dane szyfrowane przez przeglądarkę na telefonie, przeznaczone dla docelowego serwera, są rozszyfrowywane przez serwery Nokii, a wiec Nokia może poznać poufne treści (np. hasła do stron banków online).
Nie tylko ruch HTTPS jest przechwytywany…
Co ciekawe, jak twierdzi indyjski bloger, nie tylko ruch WWW jest przekierowywany przez serwery proxy należące do Nokii — tak samo zachowuje się wbudowany w telefon klient Twittera i poczty elektronicznej… A na dodatek, tunelowanie ruchu odbywa się nie tylko w trakcie korzystania z transmisji pakietowej GSM, ale także po Wi-Fi (gdzie ciężko mówić o “przyśpieszeniu” i “oszczędności transferu”)…
Odpowiedź Nokii
Nokia odpowiedziała na zarzuty:
Działanie przeglądarki Nokia Xpress ma na celu przyśpieszenie przeglądania stron WWW. Nasze serwery proxy nie przechowują zawartości stron odwiedzanych przez użytkowników, ani żadnych informacji, które są do nich wprowadzane. Tymczasowe rozszyfrowywanie ruchu HTTPS jest wymagane i robimy to w bezpieczny sposób. Wdrożyliśmy odpowiednie zasady aby uniemożliwić dostęp do prywatnych informacji.
Google czyta waszą pocztę!
Z tym “najeżdżaniem” na Nokię, to naszym zdaniem niektórzy się trochę zagalopowali. Tak samo jak Xpress Browser zachowuje się Opera Mini i nikt nie robi z tego powodu afery. Podobnie Google ma wgląd w wysyłane przez nas e-maile na GMailu (nawet jeśli robimy to przez HTTPS) — ba! Google analizuje przesyłane w nich treści (aby lepiej dopasowywać reklamy) — i też nikt nie chce za to karać Google.
Powyższe działania są akceptowalne, o ile użytkownik ma świadomość co dzieje się z jego danymi. W przypadku Nokii zabrakło jasnego opisu, jak wygląda routing danych. Opera Mini w swoim FAQ pisze:
no end-to-end encryption between the client and the remote web server is possible.
Z kolei w Nokii jedyna informacja to enigmatyczne:
The URLs of such sites which you access with the Nokia Browser are stored by Nokia. However, we will not collect any personally identifiable information in the context of providing the service. Your browsing is not associated to any personally identifiable information and we do not collect any usernames or passwords or any related information on your purchase transactions, such as your credit card number during your browsing sessions. Also, additional parameters in the URL are not stored.
Może najlepszym wyjściem byłaby metoda stosowana przez Amazon Silk, czyli tunelowanie tylko HTTP, a nie HTTPS? Albo chociaż umożliwienie użytkownikowi podjęcia samodzielnej decyzji w tej delikatnej kwestii? Podsumowując, wierzymy, że Nokia chciała dobrze, ale zabrakło przejrzystości w komunikacji…
Źródło: niebezpiecznik.pl
