Nokia entschlüsselt HTTPS-Traffic von Asha-Smartphones

Nokia hat zugegeben, dass es nach HTTPS verschlüsselten Internet-Traffic seiner Nutzer abfängt und temporär entschlüsselt. Das geschehe aber nur zum Vorteil der Kunden, die man keineswegs ausschnüffle. Der Sicherheitsforscher Gaurang Pandya hatte das Vorgehen Nokias gestern in einem Blogbeitrag öffentlich gemacht und scharf kritisiert.

Pandya arbeitet als Infrastructure Security Architect bei Unisys Global Services India. Schon im Dezember hatte er erstmals berichtet, dass Nokia Traffic seines Smartphones der Reihe Asha über eigene Proxy-Server leitet – was eigentlich auch kein Geheimnis ist, sondern eine beworbene Funktion. Gestern schloss er daran an mit dem Hinweis, auch verschlüsselte Anfragen liefen über Nokias Server. Er schrieb: „Die DNS-Anfrage ging an ‚cloud13.browser.ovi.com‘, was der Host ist, an den auch HTTP-Traffic geschickt wurde.“

Daraufhin untersuchte Pandya die verwendeten Zertifikate und bemerkte, dass die Geräte so vorkonfiguriert sind, dass sie allen von Nokia-Servern ausgesandten Zertifikaten trauen. „Das ist der Grund, warum während dieses Man-in-the-Middle-Angriffs durch Nokia keine Sicherheitshinweise auftauchen.“

Nokia merkt dazu an, dass es den Traffic der Nutzer nur über seine Server leite, um ihn zu komprimieren, was alle Webdienste beschleunige und eine Funktion des Browsers Nokia Xpress sei. Eventueller verschlüsselter Traffic werde dazu zwar teilweise entschlüsselt, aber niemand sehe ihn je an.

An TechWeekEurope schreibt Nokia: „Wichtig ist, dass die Proxy-Server keine Inhalte der von Anwendern besuchten Webseiten speichern und auch keine von diesen eingegebenen Daten. Wenn eine zeitweilige Entschlüsselung von HTTPS-Verbindungen aus unseren Proxy-Servern nötig ist, um die Inhalte umzuwandeln und auszuliefern, dann in einer sicheren Weise.“ Es gebe auch technische und organisatorische Maßnahmen, um einen Zugang zu diesen privaten Daten zu verhindern.

Allerdings kündigt Nokia auch an, die in seinem Client angebotenen Informationen zu überprüfen und möglicherweise zu verbessern. Andere Browseranbieter, die zur Kompression Proxy-Server einsetzen, gehen offener mit der Frage nach der Datensicherheit um. Opera beispielsweise entschlüsselt HTTPS-Traffic des Browsers Opera Mini ebenfalls in seinen Rechenzentren. „Die verschlüsselte SSL-Session wird zwischen dem Mini-Server und dem besuchten Webserver eingerichtet“, erklärte ein Sprecher. „Aber auch die Verbindung zwischen Mobilclient und Server ist abgesichert. Außer in unserem Rechenzentrum werden die Daten zu keinem Zeitpunkt unverschlüsselt übertragen. Wer aber Ende-zu-Ende-Verschlüsselung benötigt, sollte einen vollwertigen Browser wie Opera Mobile einsetzen.“

Wie aus einer gestern veröffentlichten Vorabmeldung hervorgeht, hat Nokia in seinem vierten Geschäftsquartal 9,3 Millionen Asha-Smartphones verkauft. Die Geräte mit der Benutzeroberfläche S40 kosten typischerweise unter 100 Euro. Sie sind insbesondere für Entwicklungsmärkte wie Indien oder Brasilien bestimmt.

[mit Material von Tom Brewster, TechWeekEurope.co.uk]