Nokia descubrió descifrando tráfico HTTPS, por su propio bien

Nokia Asha

Bueno, esto es vergonzoso. Los investigadores descubrieron recientemente que Nokia ha estado descifrando el tráfico HTTPS en los teléfonos Serie 40 (S40). Aparentemente, el objetivo de este descifrado es garantizar que los datos se comprimen de manera óptima. No es solo un problema de navegación, el teléfono también enruta el uso del correo electrónico y del cliente de Twitter a través de sus propios servidores proxy. El comportamiento general se detectó por primera vez a principios de diciembre de 2012, pero el descifrado de HTTPS no se identificó hasta ayer.

Actualizar: El navegador Xpress de Nokia está disponible en versión beta para la familia Lumia y viene de serie en el Asha. La evidencia indica que la versión Lumia exhibe el mismo comportamiento que Asha si se utiliza el navegador Nokia.



Nokia desde entonces ha respondido al confirmar que traslada las solicitudes HTTPS de sus teléfonos Asha y Lumia a los propios servidores proxy de Nokia, descifra los datos, los comprime y envía la respuesta adecuada. La compañía insiste en que esta es una característica, más que una falla de seguridad, y afirma:





Es importante destacar que los servidores proxy no almacenan el contenido de las páginas web visitadas por nuestros usuarios ni la información que ingresan en ellas. Cuando se requiere el descifrado temporal de conexiones HTTPS en nuestros servidores proxy ... se hace de manera segura ... Nokia ha implementado las medidas organizativas y técnicas adecuadas para evitar el acceso a información privada.

Hay varios problemas con lo que está haciendo el navegador Ovi de Nokia (vale la pena señalar que Opera Mini no intenta comprimir el tráfico HTTPS). En primer lugar, incluso si la empresa no almacena versiones en texto sin cifrar de las solicitudes HTTPS que descifra, sigue evitando el cifrado que se coloca allí para la seguridad del usuario. Hacerlo convierte a los servidores Ovi de Nokia en un objetivo jugoso para los piratas informáticos que podrían estar interesados ​​en el contenido de esas transmisiones descifradas.



¿Creo que Nokia miente y extrae datos confidenciales? No. En realidad, ese no es el mayor problema aquí. Como Gaurang Pandya, el investigador que descubrió el defecto , señala, la falla aquí es que Nokia ha configurado estos dispositivos para que confíen en los certificados que emite y, por lo tanto, no emiten advertencias de que el tráfico HTTPS está siendo secuestrado.



Nokia Asha - certificación SSL

Esto es bastante más serio que la cuestión de si Nokia está o no robando datos de tarjetas de crédito. Eludiendo las medidas de seguridad que supuestamente le dicen a las personas que se están comunicando con el servidor pensar con los que se están comunicando, Nokia se ha convertido en el único punto de falla para los clientes que utilizan estos dispositivos. Los teléfonos en cuestión se han configurado para no advertir a los usuarios que su tráfico web se ha visto comprometido por lo que equivale a un ataque de intermediario.



Esta es una práctica de seguridad terrible. Obvia las protecciones que se supone que debe proporcionar el uso de HTTPS, y lo hace sin advertir al usuario final de que sus datos se están enviando a un tercero.

Por ahora, la única solución es no utilizar el propio navegador de Nokia. Como hemos dicho, Opera Mini también comprime datos, pero no comprime / redirige el tráfico HTTPS de la misma manera que lo hace Ovi.