Um Bandbreite zu sparen wird beim den Nokia Asha Smartphones der Netzwerkverkehr über Nokia-Server geleitet, auf diesen Servern werden die Antwortdaten komprimiert und erst dann zum Client zurück geschickt. Eine praktische Sache, auch Opera Mini arbeitet so. Weniger schön ist, dass Nokia es verschwiegen hat, dass diese Umleitung auch für SSL-verschlüsselte Webseiten gilt und die Pakete dabei auf den Servern von Nokia entschlüsselt werden.

Nokia Asha: SSL-Netzwerkverkehr wird bei Nokia entschlüsselt

Zwar sei die Entschlüsslung „sicher“ und man würde natürlich keine Daten über den Netzwerkverkehr speichern, unschön ist es trotzdem, dass Nokia nicht darauf hinweist und erst reagiert nachdem ein Dritter dieses Vorgehen entdeckt hat. Zwar ist dieses Vorgehen nicht unbedingt überraschend, so werden auch bei Opera Mini alle Daten, inklusive den verschlüsselten, über einen Proxy geschickt – im Gegensatz zu Nokia macht Opera aber darauf aufmerksam.

Wer also wirklich sicher sein will, dass die ausgetauschten Daten zwischen seinem Nokia Asha und dem Webserver sicher und durchgängig verschlüsselt sind, der sollte zu einem Alternativ-Browser greifen, wie zum Beispiel Opera Mobile. Aber das scheint nicht alles zu sein, laut Gaurang Pandya, der diese Umleitung publik gemacht hat, werden auch die Daten von Apps wie Twitter oder Mail auf den betroffenen Series 40 Handys über die Server von Nokia geschickt – und dort ggf. entschlüsselt.

Egal wie „sicher“ die Entschlüsselung auf den Servern von Nokia läuft und wie fest Nokia versichert, bei diesem Vorgang keine Daten zu speichern: Es bleibt ein unangenehmes Gefühl alleine aufgrund der Tatsache, dass diese Umleitung praktisch heimlich erfolgte und sie erst von Dritten entdeckt werden musste. Besser wäre es gewesen wie Opera direkt mit offenen Karten zu spielen.

Newsletter abonnieren

RSS-Icon Immer auf dem Laufenden bleiben? Dann abonniere unseren RSS-Feed!
  • blogwatch

    ssl undgleich https bitte nochmal lesen und überarbeiten so ist es bullshit!

    • http://www.facebook.com/dobschat Carsten Dobschat

      Au ja, Haare spalten… Also was ist noch mal https? https ist http, bei dem zwischen TCP und http noch SSL/TLS eingeschoben wird, die Ebene auf der die Verschlüsselung passiert. Und was bedeutet das? Um https zu entschlüsseln muss man also was entschlüsseln…?

  • Vincvega

    Naja, jede Firma hat Dreck am stecken was Datenschutz angeht. So auch Google und Apple Von daher sollte man sich einfach über alles aufklären und abwägen, was man noch auf dem Smartphone machen will

Trackbacks & Pingbacks