Egy biztonsági szakértő blogbejegyzése miatt ismét áll a bál a Nokia körül. Állítólag a finn gyártó szerverein még a felhasználók titkosított webes adatai is bárki számára láthatóan keringenek.
Nem elég, hogy a Nokia épp az évek óta tartó lejtmenet legalján igyekszik megkapaszkodni, egy újabb botrányszagú felvetés árnyékolja be
az újraéledő reményeket. Egy biztonsági szakértő által feltárt hiányosság következtében úgy tűnik, komoly titkosítási és adatvédelmi aggályok merülhetnek fel egyes Nokia modellek webes adatforgalmazási módja kapcsán.
A Nagy Testvér Finnországból figyel ■ A felvetést
blogjában bejelentő Gaurang Pandya egyenesen úgy fogalmaz, hogy a Nokia "ellopja" az egyes készülékein keresztül megvalósított internetes adatforgalmat. A finn vállalat szerverein keresztüláramló adatok egy része a felhasználó által megtekintett weblapok és egyéb internetes szolgáltatások tartalma, de ami még kínosabb, a HTTPS biztonsági szabvány által védett adatok, így jelszavak, akár banki információk is.
A szakértő először arra figyelt fel, hogy az egyik általa használt telefon (egy ázsiai piacra szánt olcsó okostelefon, a Symbiant futtató Asha 302) az internetes forgalmat egy proxy szerveren keresztül bonyolítja le. A jelek egészen olyanok voltak, mintha egy rosszindulatú támadó hajtana végre úgynevezett MITM (Man In The Middle, azaz közbeiktatott ember) támadást, ennek módszertana is a felhasználó és a webes adatforrás közé iktatott adatgyűjtő proxykon alapul.
Pandya különféle tesztekkel egyértelműen kiderítette, hogy a Nokia szerverei (az egykori Ovi szolgáltatáshoz kapcsolódó kiszolgálók) állnak a telefon és a webes szolgáltatások között. Az alapelv persze nem adatlopásról vagy szándékos károkozásról szól: a megoldás sok más mobilos böngészőhöz és internetes megoldáshoz hasonlóan a felhasználó adatforgalmát hivatott csökkenteni. A Nokia szerverein tárolt cache adatok és tömörítési megoldások elvben gyorsabb adatletöltést, és az adatforgalmi díjak csökkentését szolgálják, ám a szakértő rámutatott, hogy ehhez bizony konkrétan minden felhasználói adat titkosítatlanul áramlik át a finn vállalat gépein. A tesztek során kiderült, hogy a HTTPS által védett adatok (tehát olyanok, ahol épp az lenne a lényeg, hogy a szolgáltató és a felhasználó között titkosított adatfolyamot más ne láthassa és értelmezhesse) egyszerűen fogalmazva hagyományos szöveges fájlként haladnak át a Nokia szerverein.
Azt pontosan még nem lehet tudni, az Asha 302-n kívül milyen egyéb Nokia telefonokat érint a probléma, és a szakértő felvetésére még a finn vállalat sem reagált hivatalosan. Ez persze alapértelmezésben nem jelenti azt, hogy a Nokiánál bárki is szándékosan a felhasználói adatok gyűjtésére specializálódott volna, sőt az sem bizonyított, hogy bárki valóban belenézett volna az információkba és visszaélt volna velük. A szakértő azonban arra figyelmeztet, hogy maga a gyakorlat is kérdésessé teszi a kapcsolódó készülékek adatbiztonságát, ezért például ő biztosan nem használ majd banki alkalmazást vagy egyéb hasonló megoldást a telefonján, amíg megnyugtatóan nem rendeződik az ügy.
