Nokias Browser leitet HTTPS-Verbindungen über Proxy

[Florian]

Der Browser XPress, der auf Nokia Lumia- und Asha-Smartphones installiert ist, leitet alle Verbindungen über Nokias Server, um sie zu komprimieren und weniger Datentransfer zu verursachen. Über die Sinnhaftigkeit kann man streiten. Manche User mögen das vielleicht in Kauf nehmen, da so weniger Kosten anfallen. Leider leitet Nokia auch verschlüsselte Daten über seinen Proxy.
So kann Nokia sozusagen als Man-in-the-middle die Verbindung mitlesen.

Nokia verspricht natürlich, dies nicht zu tun.

http://gigaom.com/2013/01/10/nokia-yes-we-decrypt-your-https-data-but-dont-worry-about-it/

Opera mini macht das übrigens genauso.

[MacFlieger]

Geht da wirklich Man-in-the-middle?
Eigentlich müsste doch der Browser dann meckern, dass das SSL-Zertifikat dieses Mittelmanns nicht passt. Oder haben die in den Browser eingebaut, dass diese Warnung bei ihrem eigenen Zertifikat nicht kommt. Das fände ich auch ziemlich dreist.

[Florian]

Genau so ist. Der Browser meckert natürlich nicht, wenn er von Nokia so voreingestellt ist, dies nicht zu tun… sie klemmen also ihr Zertifikat dazwischen und dekodieren den Datenverkehr.
So behauptet es zumindest Gaurang K Pandya und Nokias Statements dazu widersprechen nicht.

[radneuerfinder]

Geht da wirklich Man-in-the-middle?

Opera gibt das für Opera Mini auch indiekt zu:
"Wenn Sie Opera Software nicht vertrauen, sollten Sie sicherstellen, dass Sie unsere Anwendung nicht dafür benutzen, irgendwelche sensiblen Informationen einzugeben":
http://de.opera.com/mobile/help/faq/#security

[radneuerfinder]

http://www.heise.de/security/meldung/Nokia-Ja-wir-entschluesseln-HTTPS-aber-wir-spitzeln-nicht-1781327.html

[MacFlieger]

Opera gibt das für Opera Mini auch indiekt zu:

Äh, nein.
Beim Opera mini wird der Datenverkehr über den Proxy geleitet. Unverschlüsselte Daten werden dabei bearbeitet und evtl. zwischengespeichert. Das ist der Sinn von so einem Proxy und auch bei Nokia.
Das weiß man und wer das nicht möchte (z.B. ich), darf sowas nicht nutzen. Darum geht es aber nicht.

Bei Nokia geht es aber noch weiter. Die entschlüsseln auch verschlüsselte Verbindungen. Das passiert bei Opera nicht.
Bei Opera werden die Pakete verschlüsselt durchgereicht so wie bei jedem anderen Punkt zwischen Dir und dem Ziel auch.
Bei Nokia findet ein echter Man-in-the-middle statt. Der Nokia-Browser baut eine verschlüsselte Verbindung zum Nokia-Server auf und dieser baut eine zweite unabhängige verschlüsselte Verbindung zum Zielserver auf. Dazwischen auf dem Nokia-Server liegen die Daten unverschlüsselt vor und werden von Nokia bearbeitet.

Nokia hat mittlerweile reagiert (siehe hier ganz unten Update vom 11.1.2013 ). Mittlerweile wird verschlüsselter Datenverkehr über HTTP über Nokias Server getunnelt und nicht mehr entschlüsselt. Die DNS-Abfrage erfolgt aber weiterhin unverschlüsselt über den Proxyserver.