Nokia on vahvistanut intialaistutkijan löydön, jonka perusteella yhtiö purkaa Xpress Browser -selaimella käydyn salatunkin nettiliikenteen välityspalvelimillaan.
Käytännössä siis kaikki datapihin selaimen välittämät salasanat ja muut tiedot puretaan selväkieliseksi Nokian palvelinten läpi kulkiessaan. Tarkempi selvitys tilanteesta löytyy asiaa selvittäneen tutkijan blogista.
Nokian mukaan käyttäjien ei kuitenkaan tarvitse huolestua, sillä yhtiöllä on käytössä tarkat turvajärjestelyt käyttäjien tietojen suojelemiseksi. Yhtiö perustelee salatun datan purkamista sillä, että selaimen tarkoituksena on pakata liikenne mahdollisimman pieneen tilaan, mikä onnistuu vain tarkastelemalla pakettien todellista sisältöä.
Vaikka liikenne puretaan, Nokia vakuuttaa, että mitään tietoja ei tallenneta välityspalvelinten muistiin.
Salatunkin datan purkaminen pakkaavissa välimuistin käyttöön perustuvissa selaimissa ei ole varsinaisesti uusi asia, sillä esimerkiksi Opera Minin pakkaus on toteutettu samalla tekniikalla. Nokia kuitenkin lupaa parantaa käyttäjäehtojensa kohtaa, jossa käyttäjälle kerrotaan salatun datan purkamisesta.
Mutta kuten intialaistutkijan löydöstä uutisoiva GigaOm-huomauttaa, jos haluaa hoitaa esimerkiksi pankkiasiansa täydellisen yksityisesti, ne kannattaa tehdä jollain muulla selaimella, vaikka Nokia ei olekaan antanut aihetta epäillä toimintansa laillisuutta.
Xpress Browser löytyy Nokian Asha-puhelimista ja se on myös tarjolla yhtiön Lumia-puhelimille.
Edit 13.1.2013 Lisätty linkki alkuperäiseen blogiin.
MrC00L @ 11.1.2013 17:23
Nokian mukaan käyttäjien ei kuitenkaan tarvitse huolestua, sillä yhtiöllä on käytössä tarkat turvajärjestelyt käyttäjien tietojen suojelemiseksi.
Niillähän on siis mahdollisuus lukea salattua dataa jo useampi vuosi+ sitten lex nokia skandaali aikanaan, Poliisivaltio suomesta tulossa.
remix @ 11.1.2013 19:23
Lainaus:Mutta kuten intialaistutkijan löydöstä uutisoiva GigaOm-huomauttaa, jos haluaa hoitaa esimerkiksi pankkiasiansa täydellisen yksityisesti, ne kannattaa tehdä jollain muulla selaimella, vaikka Nokia ei olekaan antanut aihetta epäillä toimintansa laillisuutta.
Mitä tuo nyt sitten tarkoittaa? Onko välityspalvelimella tosiaan mahdollista purkaa pankin sertifikaatilla salattua dataa? Ehkä en ole ymmärtänyt TLS:ää ollenkaan. Oisko jollain on heittää linkkiä miten tuo homma teknisesti tapahtuu?
Agent_007 @ 11.1.2013 20:51
Lainaus, alkuperäisen viestin kirjoitti remix: Oisko jollain on heittää linkkiä miten tuo homma teknisesti tapahtuu?
Uutisessa mainitun tutkijan blogissa on selitetty tuo Man In The Middle (MITM) -hyökkäys hyvin selvästi
http://gaurangkp.wordpress.com/2013/01/09/nokia-https-mitm/
3rd_party @ 11.1.2013 21:27
Lainaus, alkuperäisen viestin kirjoitti MrC00L: Niillähän on siis mahdollisuus lukea salattua dataa jo useampi vuosi+ sitten lex nokia skandaali aikanaan, Poliisivaltio suomesta tulossa. Tuo "lex-Nokia" kattaa vain työntekijöiden sähköpostien tarkkailun, ei muuta, ja koskee vain Suomea.
Sefriol @ 12.1.2013 14:02
Uhka on muutenkin mitätön. Käytännössä Nokia pystyisi tarkkailemaan henkilöitä jos se etukäteen tietäisi milloin se tapahtuisi. Yhdelläkään maailman yhtiöllä ei ole resursseja pitää tiedossa yksittäisten henkilöiden nettikäyttäytymistä. Pienessäkin mittakaavassa tietojen säilyttäminen olisi useita teratavuja per päivä.
Tietysti tietyillä algoritmeilla yksittäisten tietojen kuten salasanojen tallentaminen olisi mahdollista, mutta todella epätodennäköistä ja todennäköisesti täysin laitonta.
remix @ 14.1.2013 18:57
@3: Lainaus:
Uutisessa mainitun tutkijan blogissa on selitetty tuo Man In The Middle (MITM) -hyökkäys hyvin selvästi
http://gaurangkp.wordpress.com/2013/01/09/nokia-https-mitm/ Kiitos, mitenkäs en tuota huomannut tarkastaa.
Kyllä tuo on minusta aika vakavaa, että käyttäjän salattu liikenne ohjataan nokian palvelimille ilman mitään ilmoitusta. Varsinkin salatun liikenteen osalta eritäin epämiellyttävää, vaikka miten Nokiaan luottaisikin.
Tuonne blogi-postaukseen on kyllä 11.1 lisätty päivitys jonka mukaan tietoja ei ilmeisesti enää pureta Nokian toimesta, mutta liikenne ohjataan kuitenkin heidän kauttaan. Mikä hyöty tästä on jää kyllä arvoitukseksi.
Vai oiskohan selaimeen tulossa päivitys, jolla koko uudelleenohjaus otetaan pois salatun liikenteen osalta.