Ερευνητές ανακάλυψαν πρόσφατα ότι η Nokia αποκρυπτογραφεί την κίνηση δεδομένων που προέρχονται από HTTPS πλατφόρμες σε δικούς της servers. Συγκεκριμένα στην σειρά S40 ανιχνεύθηκε τον Δεκέμβριο του 2012 μια περίεργη “παράκαμψη” δεδομένων που προέρχονταν τόσο από τους browsers των χρηστών αλλά και από τα email και τους Twitter clients.
Η Nokia ανταποκρίθηκε λέγοντας ότι οι servers τους δεν αποθηκεύουν τα δεδομένα αλλά τα αποκρυπτογραφούν για να τα συμπιέσουν καλύτερα και να στείλουν έπειτα στον τελικό τους προορισμό.
Πολλοί είναι εκείνοι που επισήμαναν ότι τώρα που ήρθε στη επιφάνεια αυτό το γεγονός οι servers της Νοκια αποτελούν έναν δελεαστικότερο στόχο για επίδοξους hackers.
Τώρα, αν έχετε μια τέτοια συσκευή και δεν επιθυμείτε την εκτροπή των δεδομένων σας από την Nokia μπορείτε να χρησιμοποιείτε εναλλακτικά τον Opera Mini ως κύριο browser αντι του Ovi.
Δυατυχως,και ο opera mini την ιδια ακριβως διαδικασια κανει για τη συμπιεση των δεδομενων,χρονια τωρα.
Η συμπίεση των δεδομένων είναι μια τακτική που βοηθάει τους χρήστες, προς όφελος τους, να μην χρεώνονται πολλά KBs κατά την αποστολή και λήψη.
Αυτό που αναφέρεται στο πηγαίο κείμενο είναι το γεγονός ότι ο Opera δεν αποκωδικοποιεί τα HTTPS δεδομένα μας και πόσο μάλλον δεν τα επεξεργάζεται όπως η Nokia 🙂
Την ιδια ακριβως διαδικασια (ισχυριζονται οτι) κανουν και οι δυο browsers. Δεν αποθηκευουν δεδομενα,μονο τα επεξεργαζονται και τα συμπιεζουν. Και στην περιπτωση του opera mini τα δεδομενα περνανε απο τους σερβερς της opera,για αυτο δε συνισταται η χρηση του για λογους ασφαλειας σε περιπτωση πιστωτικων καρτων,κωδικων κτλ. Και οσον κινδυνο απο hackers διατρεχουν οι σερβερς της νοκια,τον ιδιο εχουν και της opera.
Θέλω να μείνουμε εδώ:
The phones in question have been configured not to warn users that their web traffic has been compromised by what amounts to a man-in-the-middle attack.
This is terrible security practice. It obviates the protections that using HTTPS is supposed to provide, and it does so without warning the end user that their data is being sent to a third party.
Στο οποίο νομίζω είναι το ζουμί του άρθρου.
Ο browser της Nokia έχει γίνει configured να δέχεται self-signed ssl certificates, το οποίο σημαίνει ότι στην ουσία καθιστά “άχρηστη την ssl-ed” επικοινωνία. Οποιοσδήποτε κάνοντας arp-poisoning μπορεί να σνιφάρει (και) τα https δεδομένα.
Στην ουσία ξεγελάει τον χρήστη να νομίζει ότι έχει ssl-ed επικοινωνία, ενώ το certificate είναι self-signed.
Οι servers του Opera συμπιέζουν τα δεδομένα ΑΛΛΑ ΔΕΝ στέλνει fakes-certificates τα οποία τα αποδέχεται η εφαρμογή μόνη της χωρίς να ρωτήσει τον χρήστη. Η https επικοινωνία με τον Opera είναι (μέχρι τώρα τουλάχιστον) ασφαλής.
τι να πεις…… κάνουν ενα είδους race ποιος θα αποκτήσει ποιο πολλά personal data