Представители финского производителя телефонов подтвердили, что фирменный мобильный браузер компании дешифрует весь трафик, даже защищенный HTTPS. Это значит, что банковские операции, денежные переводы, личную почту и другую информацию, которая проходит через браузер Nokia Xpress Browser, можно просмотреть на серверах Nokia в открытом виде.
В официальном комментарии изданию Gigaom, финский производитель признал, что данные, передаваемые по защищенному протоколу, дешифруются на серверах компании. Однако, как говорят представители Nokia, фирма приняла необходимые организационные и технические меры, чтобы предотвратить несанкционированный доступ к информации.
Причиной для дешифровки трафика является необходимость более глубокого сжатия данных. Это помогает экономить деньги пользователей, ведь компрессия позволяет экономить до 90% трафика. Подробный видеообзор браузера Nokia Xpress Browser можно посмотреть на этой странице.
Обнаружил факт дешифровки всех данных, которые передаются через Nokia Xpress Browser, индийский исследователь Гуранг Пандя (Gaurang Pandya). Он детально описал потенциальную уязвимость в своем блоге. По словам исследователя, даже несмотря на принятые меры, дешифровка трафика HTTPS открывает возможность для атаки типа «человек посередине». Это когда злоумышленник вклинивается в линию связи и перехватывает проходящую мимо информацию. Благодаря тому, что Nokia Xpress Browser передает информацию в открытом виде, киберпреступнику достаточно будет просто сохранять поступающие данные. В ней уже в готовом виде будут пароли, логины и номера кредитных карт – все то, что пользователи обычно передают через защищенный протокол HTTPS.
