Индийский специалист по ИТ-безопасности Гауранг Пандиа (Gaurang Pandya) является счастливым обладателем смартфона Nokia Asha 302 под операционной системой Series 40. В декабре прошлого года Гаранг обнаружил, что браузер по умолчанию в его смартфоне Nokia Browser (Xpress Browser) принудительно направляет трафик через серверы компании Nokia. Казалось бы, что страшного в использовании прокси-сервера? Многие так делают. Например, браузер Opera Mini тоже направляет трафик через свой прокси-сервер, сжимая его на лету для ускорения загрузки и экономии денег на тарифных планах с помегабайтной оплатой.
Однако, Гауранг продолжил исследование — и недавно получил доказательства, что Nokia не просто перенаправляет и сжимает трафик, но и расшифровывает HTTPS на своём прокси-сервере. Исследователь опубликовал доказательства в своём блоге, в том числе поддельные сертификаты для этой «атаки MiTM».
Компания Nokia уже опубликовала ответ и официально подтвердила эту информацию. Действительно, защищённые соединения пользователей временно расшифровываются на прокси-сервере Nokia, но компания очень серьёзно относится к вопросам информационной безопасности, поэтому заверяет всех пользователей, что здесь нет причин для беспокойства. Расшифровка трафика осуществляется абсолютно безопасным способом, и никто не может получить доступ к учётным данным пользователя, паролям и прочим конфиденциальным сведениям, которые раскрываются при расшифровке HTTPS.
Кстати, браузер Opera Mini поступает точно таким же образом и раскрывает соединения HTTPS для компрессии трафика. В отличие от Nokia, компания Opera чётко объясняет это в разделе FAQ на своём сайте. Там сказано, что Opera Mini не обеспечивает цельного end-to-end шифрования канала. Пользователь может полагаться только на честное слово Opera, что они не сохраняют его конфиденциальные данные. Если вы не доверяете компании Opera, то не пользуйтесь их браузером.
Нужно сказать, что некоторые другие разработчики «облачных» браузеров, например, Amazon Silk, не расшифровывают HTTPS-сессии при передаче через свой прокси-сервер. Естественно, при этом они не могут и сжать трафик HTTPS.
Компания Nokia специально настроила браузер таким образом, чтобы он доверял поддельным сертификатам и не выдавал предупреждений безопасности из-за взлома HTTPS-канала.
