• О проекте
  • Услуги
  • Заказать услугу
  • Новости
  • Блог
  • Глоссарий
  • Контакты
  • Новости

    Nokia играет в большого брата?

    Индийский исследователь в области безопасности Горанд Пандья (Gaurang Pandya) обнаружил интересную особенность в веб-браузере Nokia Xpress Browser на некоторых моделях телефонов финского производителя. Браузер на этих аппаратах для экономии трафика ведет передачу данных при помощи серверов Nokia, к которым трафик передаётся в сжатом виде. Ничего удивительного в подобной схеме нет, в конце концов, такое же решение использует браузер Opera Mini. Проблема в том, что Nokia перенаправляет конфиденциальный трафик по протоколу HTTPS также на свои сервера, осуществляя таким образом атаку "человек посередине" (Man in the middle). Подобная деятельность позволяет проводить мониторинг (или можно сказать подслушивание) важных пользовательских данных, таких как онлайн-банкинг, электронная почта и т.д.

    Nokia, конечно, клянется, что она не производит доступа к чужим секретным данным, и никто из её сотрудников не имеет такой возможности, а также что серверы Nokia хорошо защищены. Тем не менее, весьма подозрительно, что Nokia, в отличие от Opera Mini, не уведомляет своих пользователей об этом в пользовательском соглашении!

    nokia следит

    Более того, уязвимы для прослушивания также пользователи, которые не используют этот браузер. Как такое возможно? Предустановленные приложения для электронной почты и Twitter общаются с Интернетом косвенно, с помощью браузера Nokia.

    Пока не известно, затрагивает ли эта проблема все телефоны производителя. В случае с моделью Nokia C5-03 исследователю не удалось найти  перенаправление на сервера финской компании, как это было при использовании смартфона Nokia серии Asha.

    Горанд Пандья проводил свое исследование с браузером, который был в поставке телефона, но Nokia быстро выпустила обновление этого приложения, в котором вводится туннелирование HTTPS через HTTP на серверах Nokia - к сожалению, на данный момент, трудно сказать, является ли это достаточным для обеспечения полной безопасности пользователей.

    Следует заметить, что Nokia отреагировала очень быстро из-за шумихи в СМИ. Возможно, Nokia скрывает тот факт, что она пыталась контролировать трафик пользователей для повышения точности контекстной рекламы?