Menü
Security

Nokia: Ja, wir entschlüsseln HTTPS - aber wir spitzeln nicht

vorlesen Drucken Kommentare lesen 294 Beiträge

Nokia hat zugegeben, dass der Nokia Xpress Browser auch verschlüsselten HTTPS-Traffic über Nokia-Server lenkt – und die Daten dort zwischenzeitlich entschlüsselt werden. Der indische Sicherheitsforscher Gaurang Pandya bemerkte den Netzwerkverkehr in seinem Nokia Asha-Handy – ausgestattet mit der Benutzeroberfläche Series 40 – und untersuchte daraufhin den XPress Browser, Operas "Mini" Browser und die Browsertraffic von einem älteren Nokiagerät. Nokia weist in Reaktion auf Pandyas Untersuchungen darauf hin, dass die Entschlüsselung auf den Servern sicher sei.

Nokias Xpress und auch Operas Mini sind Browser, die durch Komprimierung Datenvolumen verringern und Kunden somit Geld sparen sollen. Gerade in Gegenden mit schlechter Konnektivität und wenig Bandbreite können diese Browser punkten. Opera weist in seinen FAQs darauf hin, wie Opera Mini verschlüsselt, und dass Datenströme für die Komprimierung über Server gelenkt werden. Dabei macht das Unternehmen auch keinen Hehl daraus, dass Opera Mini stets über den Proxy arbeitet. Für eine lückelose Verschlüsselung empfiehlt das Unternehmen den vollständigen Webbrowser Opera Mobile.

Nokia geht hingegen in der Erklärung zum Xpress-Browser gar nicht auf Verschlüsselung ein. Umso überraschter war deshalb Sicherheitsforscher Pandya, als er den kontinuierlichen Datenfluss über den Nokia-Server bemerkte. Nach der Untersuchung des Netzwerkverkehrs stellte er infrage, ob Nokia mit dieser Praxis den eigenen Privatsphäre-Angaben widerspricht.

Nokia reagierte auf Pandya und versicherte, dass auf seinen Servern kein Content von besuchten Webseiten oder Informationen, die dort eingegeben werden, gespeichert wird. "Wenn kurzeitig HTTPS-Verbindungen auf unseren Proxy-Servern entschlüsselt werden, um den Nutzercontent zu transformieren und auszuliefern, dann passiert dass immer auf eine sichere Weise." Ohne die Entschlüsselung könnte das Surfen auf HTTPS-Webseiten nicht beschleunigt werden. Die Server seien überdies gut abgesichert. Das Problem wird von Nokia deshalb weniger in den technischen Details als in der eigenen Informationspolitik gesehen. Die Produkthinweise zu Xpress sollen demnach nach Pandyas Veröffentlichung "überprüft" und wenn nötig "verbessert" werden.

Wie Pandya schreibt, beschränkt sich das Phänomen aber nicht nur auf den vorinstallierten Nokia Browser, sondern gilt auch für Apps wie Twitter- oder Mail-Clients. Auch diese Datenströme sollen im Asha-Smartphone zunächst über den Nokia-Server gelenkt werden. Ein älteres Nokia-Handy (C5-03) zeigt laut Pandya dagegen keinerlei Umleitung über Nokia-Proxies, weder für Browser noch für Apps. (kbe)