De Nokia Xpress browser voor Asha en Lumia-toestellen heeft een proxy-server die vertrouwelijk HTTPS-verkeer middels een eigen certificaat ontsleutelt, zonder dat gebruikers zijn ge´nformeerd.

Nokia schendt de vertrouwelijkheid van communicatie door versleuteld internetverkeer, zoals wachtwoorden, internetbankieren, e-mail of DigiD-sessies, te onderscheppen en tijdelijk te ontsleutelen, zonder dat gebruikers hiervan op de hoogte zijn.
Man-in-the-Middle aanval

Het concern voert feitelijk een zogenaamde Man-in-the-middle (MITM) aanval uit op gebruikers van de Nokia Xpress-browser, stelt security-onderzoeker Gaurang Pandya, die het testte met een Nokia Asha 302. Nokia leidt verkeer vanaf de Nokia-browser om via een proxy-server, vergelijkbaar met Opera Mini, Skyfire, en Amazon Silk. Op deze proxy-server wordt verkeer gecomprimeerd, zodat de eindgebruiker sneller kan surfen met zijn mobiel.

Maar Nokia gaat veel verder en doet dit trucje ook met HTTPS-verkeer, waarvan wordt geacht dat dit versleuteld is tussen browser en webserver. Nokia's proxy onderschept dit verkeer echter ook en ontsleutelt het bovendien middels eigen SSL-certificaten, beschrijft Pandya.

Deze praktijk is niet uniek, ook Opera Mini ontsleutelt SSL-verkeer, maar legt dit wel duidelijk uit. Skyfire en Amazon Silk laten HTTPS-verkeer naar eigen zeggen ongemoeid. Nokia meldt er echter niets over. De Nokia Xpress-browser is beschikbaar voor Asha en Lumia-toestellen. Voor Lumia's is de Xpress browser vooralsnog in beta.
Nokia: informatie verbeteren

Nokia bevestigt tegenover Webwereld de praktijk, maar stelt dat het veilig is. "Als het nodig is om tijdelijk de HTTPS-verbinding te ontsleutelen op onze proxy-servers om gebruikersdata te comprimeren en te bezorgen dan gebeurt dit op een veilige manier", sust het bedrijf in een verklaring.

"Nokia heeft afdoende maatregelen genomen om toegang tot privacygevoelige informatie te voorkomen. Claims dat we ons toegang verschaffen tot ontsleutelde informatie zijn onjuist." Nokia meldt wel dat het "zal onderzoeken hoe de informatievoorziening hierover kan worden verbeterd".
SSL gebroken

"Dit gaat tegen de principes in van SSL", reageert security-expert Oscar Koeroo tegenover Webwereld. "Ik vind het prima dat ze mijn non-encrypted data cachen. Mijn SSL daarentegen vind ik niet OK. Denk aan wachtwoorden voor bedrijfsmail of je DigiD wachtwoord, of je wachtwoord voor Paypal of bank. Dergelijke appliances kunnen ze (kort) inzien. Dit moet je niet willen met SSL." Koeroo hekelt vooral het feit dat Nokia niet transparant is over hoe ze vertrouwelijk internetverkeer afhandelen.

ICT-jurist Arnoud Engelfriet vindt de kwestie 'vreemd en opmerkelijk'. "Op z'n minst moeten ze dit duidelijk melden. Zoiets mag alleen als ze kunnen uitleggen dat dit ook noodzakelijk is voor de dienstverlening. Die informatieplicht hebben ze verzaakt."