Alfonso Maruccia

Nokia si intrufola nel traffico cifrato?

La casa finlandese ammette di redirigere il traffico HTTPS sui suoi telefonini di fascia bassa di classe Asha. Ma è per migliorare l'esperienza di navigazione, dice

Roma - Nokia "spia" il traffico web cifrato (HTTPS) sui telefonini della serie Asha: l'accusa arriva da Gaurang Panda, ricercatore di sicurezza di Unisys Global Services India, che ha messo sotto la lente d'ingrandimento il browser mobile presente sul suo telefono.

Panda ha dunque scoperto che Xpress - questo il nome del suddetto browser - è stato programmato per accettare i certificati di Nokia, e così facendo la società finlandese è in grado di redirigere il traffico cifrato attraverso i suoi proxy prima di raggiungere la destinazione voluta dall'utente.

Il risultato finale è che Nokia ha accesso a tutto il traffico di rete che sia stato o meno cifrato, potendo in teoria leggere "in chiaro" le abitudini di navigazione dell'utente quando in realtà non dovrebbe avere alcun diritto - né interesse - a farlo.
Nokia ammette di usare i proxy per redirigere il traffico HTTPS, ma si giustifica parlando di un metodo per velocizzare la navigazione e migliorare quindi l'esperienza mobile dell'utente. La gestione del traffico è sicura, dice Nokia, le informazioni di navigazione non vengono in alcun modo archiviate a futura memoria e dire che la società accede ai dati in chiaro sarebbe "impreciso".

Impreciso o meno, il nuovo "scandalo" del traffico rediretto colpisce Nokia in una fase estremamente delicata della sua travagliata avventura commerciale recente: le vendite di smartphone Lumia (basati su Windows Phone) per l'ultimo quadrimestre dell'anno ammontano a 4,4 milioni, un risultato che ha superato le aspettative della casa finlandese ma che la costringerà a una risalita lenta e incerta prima di tornare a impensierire gli attuali colossi del mercato (cioè Google Android e Apple iOS).

Alfonso Maruccia
Notizie collegate
  • HardwareNokia, Asha e raddoppiaNuovi dispositivi destinati a rappresentare l'offerta base dell'azienda finlandese. Perché i feature phone hanno ancora molto da dire
  • BusinessNokia, piange il telefonoRisultati negativi per la multinazionale finlandese. La borsa di Helsinki però reagisce bene. Anche se il futuro prossimo, in salsa Windows Phone, continuerà a essere difficile
24 Commenti alla Notizia Nokia si intrufola nel traffico cifrato?
Ordina
  • ...è che tutti quelli che demonizzano Nokia sono probabilmente utenti Android (o meditano di diventarlo) ovvero regalano tutti i loro dati di navigazione (e non solo) a Google, e sono felici di farlo credendosi liberi.

    Mi ricorda quella di un mio amico programmatore che ha flashato il suo Galaxy per installare App piratate, e poi si lamenta che nessuno compra le sue App... ROTFL
    non+autenticato
  • - Scritto da: Krumiro
    > ...è che tutti quelli che demonizzano Nokia sono
    > probabilmente utenti Android (o meditano di
    > diventarlo) ovvero regalano tutti i loro dati di
    > navigazione (e non solo) a Google, e sono felici
    > di farlo credendosi liberi.

    Qua si parla di spionaggio industriale transnazionale, hai idea di quanti soldi potrebbe muovere una cosa del genere ?

    > Mi ricorda quella di un mio amico programmatore
    > che ha flashato il suo Galaxy per installare App
    > piratate, e poi si lamenta che nessuno compra le
    > sue App...
    > ROTFL
    krane
    22544
  • - Scritto da: Krumiro
    > ...è che tutti quelli che demonizzano Nokia sono
    > probabilmente utenti Android (o meditano di
    > diventarlo) ovvero regalano tutti i loro dati di
    > navigazione (e non solo) a Google, e sono felici
    > di farlo credendosi liberi.

    In base a quale sfera di cristallo hai determinato quel "probabilmente" o "sperano di..." ?

    E poi sempre in base a quale sfera di cristallo determini che vengono regalati i dati?

    > Mi ricorda quella di un mio amico programmatore
    > che ha flashato il suo Galaxy per installare App
    > piratate, e poi si lamenta che nessuno compra le
    > sue App...
    > ROTFL

    Nessuno compra le app.
  • > Mi ricorda quella di un mio amico programmatore
    > che ha flashato il suo Galaxy per installare App
    > piratate

    te l'ha detto tuo cugggino?
    mio cuggino mio cuggino
    non+autenticato
  • Nokia dopo aver fatto il telefono che non può essere ricaricato se tenuto spento adesso intercetta le comunicazioni dei clienti senza che questi siano al corrente. Ha vinto un posto nella lista dei marchi "Banned Forever" ... Sorride
    Apple
    Nokia
    Sony
    non+autenticato
  • Opera Mini passava il traffico cifrato sui loro proxy, Opera Browser mi pare abbia l'opzione per farlo e proprio per lo stesso motivo dichiarato, cioè aumentare la velocità di navigazione.

    Ciò avveniva con diverse tecniche, tipo quelle di ricampionare le jpg ad una risoluzione inferiore e comprimere il testo.

    Lo dico perché il Mini era uno dei browser più usati ai tempi di J2ME , l'ho usato ampiamente per i giornali e simili però non l'ho mai fatto per i siti importanti proprio per quel motivo.
    non+autenticato
  • Anche a me sembra la stessa identica cosa che Opera Mini fa da anni (che è usato da milioni e milioni di persone, in quanto uno dei browser mobili più diffusi).
    non+autenticato
  • - Scritto da: Joliet Jake
    > Anche a me sembra la stessa identica cosa che
    > Opera Mini fa da anni (che è usato da milioni e
    > milioni di persone, in quanto uno dei browser
    > mobili più
    > diffusi).
    Ma state parlando di Opera Turbo?
    non+autenticato
  • Riguardo i fatti, non c'è molto da dire...

    Si tratta di un classico attacco MIDM su SSL: le richieste https fatte dal browser (le pagine da visualizzare) sono chiuse con un proxy di nokia (il MIDM) che ha un suo certificato valido (firmato da una CA riconosciuta) per cui il browser non genera alcun allarme, dopodichè è il proxy a inoltrare e restituire la richiesta... siccome però il browser ha chiuso le richieste sul proxy nokia, allora questo (ovvero nokia) può vedere in chiaro tutto il nostro traffico ssl/tls.

    Ovviamente la cosa salta fuori subito facendo una analisi di dettaglio del flusso dati e/o controllando il certificato (che, "stranamente", è sempre lo stesso per qualsiasi pagina https visitata...).

    Riguardo le conseguenze, c'è invece qualcosa da dire...

    Chi, per esempio, indicizza dei semplicissimi link o esegue un download massivo di file liberamente accessibili o richiede ripetutamente per un certo tempo una determinata pagina web, viene facilmente a trovarsi con polizia/servizi dentro casa e con un giudice che vuole sbatterlo in galera per 35 anni, salvo finire dritto a guantanamo... chi invece esegue un MIDM su SLL spiando illecitamente migliaia e migliaia di persone, beh non mi pare rischi proprio nulla, neanche di dover chiedere scusa...

    Riguardo il perché questo accada, c'è pure da dire qualcosa...

    L'attuale implementazione e applicazione di TLS/SSL (https) è assurda: si basa su una struttura di chiavi pubbliche di crittografia che poggia la catena di fiducia su delle CA ("autorità" -sic!- di certificazione) private a livello internazionale, che operano più o meno come ca##o pare a loro, senza un serio controllo pubblico e senza alcuna vera "investitura" pubblica, e che hanno un potere enorme del tutto autoproclamato e quindi ingiustificato (alla faccia della sedicente/cosiddetta democrazia)...

    Il tutto ovviamente NON FUNZIONA (come ampiamente dimostrato da questo caso e da svariati altri fatti "sporchi" che, anche di recente, hanno coinvolto molte di queste CA) e ciò è ben noto da almeno un decennio... ma non se ne parla, se non sottovoce e nell'ombra...

    Perché? Questo sistema è tenuto in piedi solo perché tutto il commercio elettronico si basa sul protocollo https: ovvero viene mantenuto soltanto per ragioni puramente commerciali , ovvero per gli interessi capitalistici di pochi (e a danno dei molti)... Come sempre, però, a noi viene detto che è tutto nel nostro stesso interesse e per la nostra sicurezza...
    non+autenticato
  • Hai perfettamente ragione sulla ridicolaggine delle certificate authorities. Andate a vedere nel vostro browser tutti gli enti a cui date assoluta autorita' di decidere quali siti sono sicuri...

    Sbagli a inquadrare il tutto in puri interessi commerciali, visto che scambi un mezzo con il fine. Non si tratta di capitalismo o comunismo o fascismo, la tecnologia e' stata sviluppata per favorire il Controllo dagli inizi della rivoluzione industriale almeno. Si potrebbe sviluppare la tecnologia per ampliare le facolta' del singolo ma questo capita solo nelle fasi in cui bisogna favorire la adozione di nuovi aggeggi, ad esempio con il primo PC, o le automobili e gli apparecchi elettronici che tu potevi portare a far riparare da chi volevi visto che ti davano manualistica dettagliata.

    E non si tratta di teorie complottiste, non importa che ideologie ci siano alla base, chi ottiene denaro e non si accontenta vuole ricchezza concreta, case, oro. Chi ottiene ricchezza vuole potere, chi ottiene potere vuole esercitarlo sempre, ovvero vuole controllo, chi ottiene controllo vuole l'adorazione esplicita. Queste sono le tappe, dai faraoni o se ci credete da Matteo 4 versetto 9, ad oggi.

    ehi, MIDM, Man In De Middle?
    non+autenticato
  • Se la notizia è vera, che le intenzioni siano buone o meno poco importa. Se la cosa non è resa più che chiara agli utenti (vedi ad esempio Opera che ti avvisa per bene che stai passando per i loro proxy se usi l'opzione turbo) è a mio avviso da equiparare ad una intercettazione abusiva di comunicazioni o intrusione in sistemi informatici.
    Non ci andrei tanto per il leggero, secondo me siamo in zona "codice penale"
    Diciamo che Nokia ce la sta mettendo proprio tutta per sputtanarsi...

    Personalmente in passato avevo sempre apprezzato molto i cellulari Nokia tant'è che ancora oggi uso come telefono personale un E61i che tutto sommato mi consente di fare tutto quello che mi serve anche se la velocità di connessione non è il massimo.
    Oggi come oggi però non prenderei mai e poi mai più un Nokia. E vedendo i telefoni che hanno colleghi, amici, gente in treno e chi più ne ha più ne metta direi che non sono l'unico a pensarla così.
    Avere oggi un Nokia oggi è un po' avere un Siemens o un Alcatel qualche anno fa. Insommma cellulari da quattro soldi da battaglia e da spender poco (*).
    Dopo questa, direi che forse è meglio rivolgersi ad altri anche per i cellulari da battaglia.


    (*) tralasciando la serie lumia che comunque, oltre al prezzo alto non mi sembrano nemmeno un gran chè
    non+autenticato
  • - Scritto da: Diego
    > Se la notizia è vera, che le intenzioni siano
    > buone o meno poco importa. Se la cosa non è resa
    > più che chiara agli utenti (vedi ad esempio Opera
    > che ti avvisa per bene che stai passando per i
    > loro proxy se usi l'opzione turbo) è a mio avviso
    > da equiparare ad una intercettazione abusiva di
    > comunicazioni o intrusione in sistemi
    > informatici.
    > Non ci andrei tanto per il leggero, secondo me
    > siamo in zona "codice
    > penale"
    > Diciamo che Nokia ce la sta mettendo proprio
    > tutta per
    > sputtanarsi...

    Concordo. Una cosa del genere è veramente grave.
    Felice di aver abbandonato Nokia, per sempre a questo punto.

    I segnali già si erano visti pochi mesi fa quando nelle pubblicità aveva falsificato filmati e foto del suo ultimo smarphone pureview. Ma adesso ha davvero esagerato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)