Feature oder Schnüffelei? Entschlüsselung von HTTPS-Traffic bei Nokia-Smartphones

Der Sicherheitsforscher Gaurang Pandya hat Nokia scharf kritisiert. Pandya arbeitet als Infrastructure Security Architect bei Unisys Global Services India. Im Dezember hatte er berichtet, dass Nokia Traffic seiner Smartphones der Reihe Asha über eigene Proxy-Server leitet. Das ist aber eigentlich keine sensationelle Enthüllung, sondern eine von Nokia sogar beworbene Funktion des auf den Geräten vorinstallierten Browsers Nokia Express.

Jetzt hat Pandya aber nachgelegt: Er habe festgestellt, dass auch verschlüsselte Anfragen über Nokias Server laufen. Pandya untersuchte die verwendeten Zertifikate und bemerkte, dass die Geräte so vorkonfiguriert sind, dass sie allen von Nokia-Servern ausgesandten Zertifikaten trauen. “Das ist der Grund, warum während dieses Man-in-the-Middle-Angriffs durch Nokia keine Sicherheitshinweise auftauchen.”
Nokia hat zwar eingeräumt, dass es HTTPS-verschlüsselten Internet-Traffic seiner Nutzer abfängt und temporär entschlüsselt, aber das geschehe nur zum Vorteil der Kunden, die man keineswegs ausschnüffle. Den Traffic der Nutzer leite man nur über die eigenen Server, um ihn zu komprimieren, was alle Webdienste beschleunige und eine Funktion des Browsers Nokia Xpress sei. Verschlüsselter Traffic werde dazu zwar teilweise entschlüsselt, aber niemand sehe ihn sich je an.
An TechWeekEurope schreibt Nokia: “Wichtig ist, dass die Proxy-Server keine Inhalte der von Anwendern besuchten Webseiten speichern und auch keine von diesen eingegebenen Daten. Wenn eine zeitweilige Entschlüsselung von HTTPS-Verbindungen aus unseren Proxy-Servern nötig ist, um die Inhalte umzuwandeln und auszuliefern, dann in einer sicheren Weise.” Es gebe auch technische und organisatorische Maßnahmen, um einen Zugang zu diesen privaten Daten zu verhindern. Allerdings kündigt Nokia an, die in seinem Client angebotenen Informationen zu überprüfen und möglicherweise zu ergänzen.
Andere Browseranbieter, die zur Kompression Proxy-Server einsetzen, gehen offener mit der Frage nach der Datensicherheit um. Opera beispielsweise entschlüsselt HTTPS-Traffic des Browsers Opera Mini ebenfalls in seinen Rechenzentren. “Die verschlüsselte SSL-Session wird zwischen dem Mini-Server und dem besuchten Webserver eingerichtet”, erklärte ein Sprecher. “Aber auch die Verbindung zwischen Mobilclient und Server ist abgesichert. Außer in unserem Rechenzentrum werden die Daten zu keinem Zeitpunkt unverschlüsselt übertragen. Wer aber Ende-zu-Ende-Verschlüsselung benötigt, sollte einen vollwertigen Browser wie Opera Mobile einsetzen.”
[mit Material von Florian Kalenda, ZDNet.de]