The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

11.01.2013 15:13  Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильных телефонов

Один из индийских экспертов по безопасности заинтересовался фактом перенаправления трафика на транзитный сервер при попытке обращения к сайтам со штатного браузера (Nokia Browser 2.2.0.0.31) мобильного телефона Asha (Series 40) от компании Nokia. В итоге было выявлено, что компания осуществляет транзитную дешифровку HTTPS-трафика на своём прокси сервере.

Метод основан на подмене IP-адреса DNS-сервером Nokia, из-за чего запрос клиента перенаправлялся на прокси-сервер компании, от имени которого с SSL-сертификатом Nokia возвращается ответ, в котором транслируется содержимое HTTPS-сеанса, установленного между прокси и запрошенным клиентом сайтом. Никаких предупреждений о нарушении безопасности у клиента не выводилось, так как на телефон предустановлен SSL-сертификат, доверяющий данным с домена cloud1.browser.ovi.com, который фигурирует в сеансах между клиентом и прокси.

Компания Nokia заверила, что указанная техника используется исключительно для ускорения доступа к сайтам, никакие данные не оседают и не анализируются на серверах компании. Кроме того, в выпущенном сегодня обновлении мобильного браузера Nokia акселерация HTTPS-трафика прекращена и прокси Nokia теперь не вклинивается в подобный трафик, пропуская его в неизменном виде.

  1. Главная ссылка к новости (http://www.theregister.co.uk/2...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: mitm, ssl, proxy, nokia
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 15:33, 11/01/2013 [ответить] [показать ветку] [···]    [к модератору]
  • +31 +/
    Откровенный обман, как и вся политика Ноклы и ее продукция.
     
     
  • 2.6, wS (?), 15:44, 11/01/2013 [^] [ответить]    [к модератору]
  • +26 +/
    Нокия! не путай с прекрасной фирмой Нокла
     
  • 2.15, Аноним (-), 16:05, 11/01/2013 [^] [ответить]    [к модератору]
  • +23 +/
    За что вы так не любите NOKLA? Фирме NOKIA скоро придется их подделывать, потому что они себе таких обсираков не позволяют :)

    P.S. да, сразу видно - подружились с MS -> началось западлостроение во все поля.

     
     
  • 3.89, Aleks Revo (ok), 17:07, 13/01/2013 [^] [ответить]    [к модератору]
  • +1 +/
    > P.S. да, сразу видно - подружились с MS -> началось западлостроение во все поля.

    Возможно Вы путаете причину и следствие. Достойная компания не подружилась бы с МС ))))

     
  • 2.72, Аноним (-), 00:02, 12/01/2013 [^] [ответить]    [к модератору]
  • +1 +/
    Даже обидно, раньше хорошие телефоны делали, n900, например.
     
     
  • 3.73, Аноним (-), 03:03, 12/01/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    Ну так пришел троян из редмонда - элоп.
     
  • 3.91, arisu (ok), 00:39, 14/01/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    > Даже обидно, раньше хорошие телефоны делали, n900, например.

    всё верно —  за вычетом того, что N900 не телефон. это tablet с кое-как привинченой функцией звонилки.

     
  • 1.2, Nokia RIP (?), 15:37, 11/01/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +6 +/
    Интересно, кому Элоп сливает инфу о владельцах девайсов Nokia?
     
     
  • 2.16, Аноним (-), 16:06, 11/01/2013 [^] [ответить]     [к модератору]  
  • +4 +/
    Для майкрософта не впервой фишингом заниматься Они вон в ынтырнет эксплорерах ш... весь текст скрыт [показать]
     
     
  • 3.63, анонимус (??), 22:00, 11/01/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    >>Они вон в ынтырнет эксплорерах шлют посещаемые урлы на свои сервера. "Для защиты от фишинга", угу...

    FF и Opera шлют на Google Analytics

     
     
  • 4.68, Аноним (-), 22:29, 11/01/2013 [^] [ответить]     [к модератору]  
  • +3 +/
    Файрфокс сам по себе на Google Analytics вообще ничего не шлет В чем можно убед... весь текст скрыт [показать]
     
  • 2.38, YetAnotherOnanym (ok), 17:56, 11/01/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    Тем же, кому Опера сливает инфу об использующих турбо-режим.
     
     
  • 3.41, Аноним (-), 18:16, 11/01/2013 [^] [ответить]    [к модератору]  
  • +2 +/
    В опере же отключается. А тут нет. В том и разница
     
  • 3.47, Аноним (-), 19:17, 11/01/2013 [^] [ответить]     [к модератору]  
  • +4 +/
    http www opera com browser turbo Надежная защита конфиденциальности Даже при ... весь текст скрыт [показать]
     
  • 1.3, Аноним (-), 15:38, 11/01/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +6 +/
    А еще телефонные звонки прослушиваются, записываются и анализируются американской системой "эшелон".
    ку!
     
     
  • 2.13, Аноним (-), 16:03, 11/01/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    Раньше их провайдеры сливают СОРМу Прикинь - без предупреждения И, кстати, про... весь текст скрыт [показать]
     
     
  • 3.17, Аноним (-), 16:08, 11/01/2013 [^] [ответить]    [к модератору]  
  • +6 +/
    > Особенно транспарентные, приколись!

    А приколись, есть такая штука - секурные туннели. Вот бдит прокся, бдит, а там какой-то хлам летает. Ну и чего? Или уж камон и предъвляйте обвиения, если уверены что есть что предъявить, или уж GTFO из частной жизни, ибо нефиг.

     
     
  • 4.32, Андрей (??), 17:08, 11/01/2013 [^] [ответить]    [к модератору]  
  • –3 +/
    расскажите, как в анальном аппарате прикрутить туннель?
     
     
  • 5.40, rshadow (ok), 18:10, 11/01/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    Берешь голубя, кусочек бумаги, веревочку и ручку .... остальное по RFC...
     
     
  • 6.42, Аноним (-), 18:39, 11/01/2013 [^] [ответить]    [к модератору]  
  • +/
    > Берешь голубя, кусочек бумаги, веревочку и ручку .... остальное по RFC...

    А если голубя прикормили "большой брат" и ко, и он по дороге еще и к ним залетит?

     
     
  • 7.44, XoRe (ok), 18:53, 11/01/2013 [^] [ответить]     [к модератору]  
  • +5 +/
    Новая атака голубь-in-the-middle Реквестую proof-of-concept ... весь текст скрыт [показать]
     
  • 5.49, Аноним (-), 19:50, 11/01/2013 [^] [ответить]    [к модератору]  
  • +/
    > расскажите, как в анальном аппарате прикрутить туннель?

    Вот конкретно в этом фуфле от нокии - вероятно путем приколачивания аппарата на стенку и покупкой нормального смарта.

     
     
  • 6.57, прохожий (?), 21:12, 11/01/2013 [^] [ответить]    [к модератору]  
  • +/
    >нормального смарта

    Список - в студию, пожалуйста!

     
     
  • 7.64, Аноним (-), 22:10, 11/01/2013 [^] [ответить]     [к модератору]  
  • +3 +/
    Как ни странно, N900 от нокии, например благо выпущен до того как они скурвилис... весь текст скрыт [показать]
     
  • 4.67, prokoudine (ok), 22:19, 11/01/2013 [^] [ответить]     [к модератору]  
  • +/
    Термин ректальный криптоанализ появился не просто так ... весь текст скрыт [показать]
     
     
  • 5.69, Аноним (-), 22:31, 11/01/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    > Термин "ректальный криптоанализ" появился не просто так.

    Ну как бы у него есть важный бонус: его довольно сложно произвести втихаря и оно доступно не всем и только по очень некоторым поводам.

     
  • 5.71, Аноним (-), 23:40, 11/01/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    желаю тебе его
     
  • 1.4, Аноним (-), 15:39, 11/01/2013 [ответить] [показать ветку] [···]     [к модератору]  
  • +2 +/
    Если вспомнить, кто нынче составляет основной контингент разрабов и манагеров M ... весь текст скрыт [показать]
     
     
  • 2.10, Аноним (-), 15:54, 11/01/2013 [^] [ответить]    [к модератору]  
  • +7 +/
    потому-что МС - компания-паразит, доказано всеми её "партнёрами"
     
  • 2.18, Аноним (-), 16:09, 11/01/2013 [^] [ответить]    [к модератору]  
  • +10 +/
    > зарывать в дерьмо то ее зачем?

    Как-то так получается что после партнерства мухи с пауком, в паутине неизбежно остаются высушенные трупики.

     
  • 1.5, wS (?), 15:43, 11/01/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    айЯболко делало тоже самое! не?
     
     
  • 2.8, Crazy Alex (ok), 15:46, 11/01/2013 [^] [ответить]    [к модератору]  
  • –5 +/
    много кто такое делает. Но обычно всё же предупреждают
     
     
  • 3.12, Аноним (-), 16:02, 11/01/2013 [^] [ответить]    [к модератору]  
  • +2 +/
    Не обязаны, прикинь! И ОпСоСы не предупреждают 72м шрифтом в контрактах, что ВЕСЬ твой трафик сливают СОРМу! (иначе лицензию не дадут на услуги публичной связи - ни-ко-му)
     
     
  • 4.14, hizel (ok), 16:05, 11/01/2013 [^] [ответить]    [к модератору]  
  • +5 +/
    Зеркалят трафик и не дешифруют. Пусть СОРМ копается, чо.
     
  • 4.20, Xasd (ok), 16:16, 11/01/2013 [^] [ответить]     [к модератору]  
  • –2 +/
    что-то я пока ещё НЕ замечал чтобы при подключении к httpS-сайту через ОпСоСа ... весь текст скрыт [показать]
     
  • 4.21, Аноним (-), 16:17, 11/01/2013 [^] [ответить]     [к модератору]  
  • +3 +/
    Пусть сливают SSL сессии, мне не жалко А что они с ней делать будут В общем сл... весь текст скрыт [показать]
     
     
  • 5.58, Ytch (ok), 21:41, 11/01/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    Только браузер ругнется все равно хоть и не строго если vasyapupkin-supersite ... весь текст скрыт [показать]
     
     
  • 6.62, Аноним (-), 21:53, 11/01/2013 [^] [ответить]     [к модератору]  
  • +/
    Вы не поняли 1 Вы заходите на google com Гуглком отдал один серт Васе Пупк... весь текст скрыт [показать]
     
     
  • 7.78, nyt (?), 12:12, 12/01/2013 [^] [ответить]    [к модератору]  
  • –2 +/
    Ты упорот. MITM для SSL работает по другому и для этого нужно много условий.
     
     
  • 8.86, anonymous (??), 13:25, 12/01/2013 [^] [ответить]    [к модератору]  
  • +/
    > Ты упорот. MITM для SSL работает по другому и для этого нужно
    > много условий.

    Опишите тогда более точную схему, пожалуйста.

     
  • 8.96, Andrew Kolchoogin (?), 15:04, 14/01/2013 [^] [ответить]     [к модератору]  
  • +/
    Да вот как раз-таки нет MITM для SSL работает именно так, как описал товаристч ... весь текст скрыт [показать]
     
  • 7.79, Ytch (ok), 12:33, 12/01/2013 [^] [ответить]     [к модератору]  
  • +/
    Да понял я это, понял Они говорят о том, что кроме этого плюс к этому, дополни... весь текст скрыт [показать]
     
  • 3.28, Crazy Alex (ok), 16:50, 11/01/2013 [^] [ответить]    [к модератору]  
  • +/
    Опсосы - они по дефолту внешние и недоверенные, SSL - в том числе для защиты от них. А если не знаешь, что от своего устройства ждать - то на кой оно такое нужно.
     
     
  • 4.50, Аноним (-), 19:54, 11/01/2013 [^] [ответить]    [к модератору]  
  • +4 +/
    > своего устройства ждать - то на кой оно такое нужно.

    Некотрые не учат историю. И поэтому не знают чем закончилась любовь к стремным девайсам у жителей города Троя.

     
     
  • 5.80, Аноним (-), 12:46, 12/01/2013 [^] [ответить]     [к модератору]  
  • +/
    наивно А в этом лучшем из миров, в области публичной связи, есть нестремные де... весь текст скрыт [показать]
     
     
  • 6.92, arisu (ok), 00:46, 14/01/2013 [^] [ответить]    [к модератору]  
  • +/
    > (наивно) А в этом лучшем из миров, в области публичной связи, есть
    > нестремные девайсы?

    ham radio.

     
     ....нить скрыта, показать (15)

  • 1.11, Аноним (-), 16:01, 11/01/2013 [ответить] [показать ветку] [···]     [к модератору]  
  • –3 +/
    Они открыли SSL-bump На прокси-серверах Они убили ... весь текст скрыт [показать]
     
     
  • 2.19, Аноним (-), 16:14, 11/01/2013 [^] [ответить]     [к модератору]  
  • +3 +/
    Ну, слили вы себе SSL сессию И чего Пассивный сниффинг SSL неэффективен А акт... весь текст скрыт [показать]
     
  • 2.24, Мимо проходил (?), 16:20, 11/01/2013 [^] [ответить]     [к модератору]  
  • +3 +/
    Во-первых, сорм запоминает время, адреса, количество пакетов, мегобайты С каког... весь текст скрыт [показать]
     
     
  • 3.25, Аноним (-), 16:28, 11/01/2013 [^] [ответить]    [к модератору]  
  • +3 +/
    > прокся в полной мере реализует атаку MITM.

    При том для ее реализации в браузере должен быть заранее подпихан скомпрометированный доверяемый сертификат. Нокия тупо воткнула бэкдор. Пи...ц.

     
  • 3.45, XoRe (ok), 19:07, 11/01/2013 [^] [ответить]    [к модератору]  
  • +/
    > Во-вторых, обычный прокси прозрачно пропускает через себя ссл

    Обычный - да.
    А с опцией ssl_bump - нет.

     
     
  • 4.48, Аноним (-), 19:23, 11/01/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    Если о ssl_bump не предупреждается в лицензии то она незаконна, поскольку занима... весь текст скрыт [показать]
     
     
  • 5.81, Аноним (-), 12:47, 12/01/2013 [^] [ответить]     [к модератору]  
  • +/
    Расскажи это Амосу Джеффрису Угу И - да, ссылку на нарушенный закон, пжалста -... весь текст скрыт [показать]
     
  • 2.87, ЕЕ (?), 23:19, 12/01/2013 [^] [ответить]    [к модератору]  
  • +/
    Ну и чаво толку этому СОРМУ с зашифрованного траффика?
    Замахали уже с этим СОРМом
     
  • 1.26, Anonim (??), 16:38, 11/01/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Я 1 думал,что транзитный сервер не может расшифровать https трафик? Так и любой прокси может данные спереть?
     
     
  • 2.27, Ordu (ok), 16:50, 11/01/2013 [^] [ответить]     [к модератору]  
  • +2 +/
    Нет, не любой Только тот, который сможет убедить браузер в том, что сертификат,... весь текст скрыт [показать]
     
     
  • 3.85, Anonim (??), 13:12, 12/01/2013 [^] [ответить]    [к модератору]  
  • +/
    Сертификат привязывается к домену и возможно сгененерировать 2 и более сертификатов на 1 домен, которые будут корректно восприняты клиентом?
     
  • 2.30, Crazy Alex (ok), 16:53, 11/01/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    Не может Но здесь вендор заботливо оставил в устройстве для себя дыру, сунув св... весь текст скрыт [показать]
     
  • 2.36, Аноним (-), 17:44, 11/01/2013 [^] [ответить]    [к модератору]  
  • +/
    В одной известной компании софт с погонялом TMG имеет фичу ssl inspection из коробки. Интересно чем проксировали нокивцы трафик.
     
     
  • 3.51, Аноним (-), 19:57, 11/01/2013 [^] [ответить]     [к модератору]  
  • +/
    А кем фэйк-серт выдан Это как раз теми турками или это кто-то другой отличился ... весь текст скрыт [показать]
     
     
  • 4.70, ООО_171Майкрософт_Рус187 (?), 22:43, 11/01/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    больше никогда не старайся показатся умнее, чем ты есть Церт у нас выпускает,... весь текст скрыт [показать]
     
     
  • 5.74, Аноним (-), 03:09, 12/01/2013 [^] [ответить]     [к модератору]  
  • +/
    Ыгыгы, понятно все с вами Моему файрфоксу к счастью подобные инициативы сильно ... весь текст скрыт [показать]
     
     
  • 6.88, mr_gfd (?), 02:40, 13/01/2013 [^] [ответить]     [к модератору]  
  • +/
    Хомячки - они дома А энтерпрайз админ - админит энтерпрайз, как это не банально... весь текст скрыт [показать]
     
  • 2.82, Аноним (-), 12:47, 12/01/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    > Я 1 думал,что транзитный сервер не может расшифровать https трафик? Так и
    > любой прокси может данные спереть?

    Индюк тоже думал. Гуглить SSL_BUMP До просветления.

     
     
  • 3.93, arisu (ok), 00:50, 14/01/2013 [^] [ответить]     [к модератору]  
  • +/
    и что браузер заорёт натурально, идиотов, у которых в браузере есть 171 безу... весь текст скрыт [показать]
     
     ....нить скрыта, показать (10)

  • 1.31, serg1224 (ok), 17:06, 11/01/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    >...запроса клиента
    > перенаправлялся на прокси-сервер комапании, от имени которого с SSL-сертификатом Nokia
    > возвращается ответ, в котором транслировалось содержимое HTTPS-сеанса, установленного

    Nokia открыла для себя Opera Mini?! :-)
    Правда похоже забыла пользователей об этом предупредить.

    А вообще, где ещё наивные остались? Какая приватность в сети?! Вы что?! Забудьте о ней или о сетевых девайсах.

     
     
  • 2.35, Аноним (-), 17:24, 11/01/2013 [^] [ответить]    [к модератору]  
  • +/
    При соблюдении совсем несложных правил анонимность есть. Ни разу не заливал своё фото в сеть? Молодец, +1 к анонимности.
     
     
  • 3.39, anonymous (??), 18:01, 11/01/2013 [^] [ответить]    [к модератору]  
  • +3 +/
    Ты не залил - знакомые/родственники зальют из самых благих побуждений, или паспортные базы утекут.
     
     
  • 4.43, Аноним (-), 18:49, 11/01/2013 [^] [ответить]     [к модератору]  
  • +3 +/
    sarcasm Т е по принципу опереди знакомых родственников - залей свои фото сам... весь текст скрыт [показать]
     
  • 4.53, Аноним (-), 20:00, 11/01/2013 [^] [ответить]     [к модератору]  
  • +/
    Правда они никак не коррелируют с вон тем сферическим анонимом в вакууме А родс... весь текст скрыт [показать]
     
     
  • 5.83, Аноним (-), 12:49, 12/01/2013 [^] [ответить]     [к модератору]  
  • +/
    И ты ошибаешься Немцы намедни разработали программу, эффективно вычисляющую дыр... весь текст скрыт [показать]
     
  • 2.52, Аноним (-), 19:58, 11/01/2013 [^] [ответить]    [к модератору]  
  • +2 +/
    > Забудьте о ней или о сетевых девайсах.

    Действительно, зачем мыть руки и заботиться о гигиене?! Все равно ведь рано или поздно умрешь!

     
  • 2.56, Crazy Alex (ok), 21:01, 11/01/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    Ну так об идеальной защите, да ещё из коробки никто и не говорит Но сделать сто... весь текст скрыт [показать]
     
  • 1.54, Maresias (ok), 20:09, 11/01/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Значит, Нокии — бойкот. Не покупать, не пользоваться.  Вот и все дела.
     
     
  • 2.55, Аноним (-), 20:16, 11/01/2013 [^] [ответить]    [к модератору]  
  • +2 +/
    > Значит, Нокии — бойкот. Не покупать, не пользоваться.  Вот и все дела.

    Давно пора. Они в г@вно скатились.

     
  • 1.59, Сергей (??), 21:43, 11/01/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Блин, никому верить нельзя, кругом одни враги...
     
     
  • 2.65, Аноним (-), 22:16, 11/01/2013 [^] [ответить]    [к модератору]  
  • +/
    >  Блин, никому верить нельзя, кругом одни враги...

    Акулы бизнеса же. Дадите палец - отхватят всю руку по локоть.

     
  • 1.60, robux (ok), 21:50, 11/01/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    А мама говорила:
    - Не играй с Болмером!
     
  • 1.61, haku (??), 21:50, 11/01/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Шпионаж отныне называется "акселерация HTTPS-трафика". Спасибо, нокла.
     
     
  • 2.66, Аноним (-), 22:18, 11/01/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    Борман шёл по коридору рейхсканцелярии и увидел возле одной из дверей Штирлица, ... весь текст скрыт [показать]
     
  • 2.84, Аноним (-), 12:50, 12/01/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    Начнем с того, что факт - факт, а не домыслы упоротых анонов - именно шпионажа -... весь текст скрыт [показать]
     
     
  • 3.94, arisu (ok), 00:56, 14/01/2013 [^] [ответить]    [к модератору]  
  • +/
    а в данном случае не важно, доказан или нет. налицо mitm-атака с использованием бэкдоров. всё, дальше не надо «доказывать, что был шпионаж»: подобные действия в security считаются однозначно вредительскими.
     
  • 1.90, arisu (ok), 00:38, 14/01/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    https — это надёжно и безопасно!
     
  • 1.95, Аноним (-), 10:27, 14/01/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    на gmail.com зайдите и на содержимое адресной строки посмотрите -цепочка вида https://accounts.gmail.com/blablabla=http://mail.google.com
    зачему гуглу http если вы используете https
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor