诺基亚官方在近日确认一则传闻：他们确实利用了Asha系列和Lumia系列手机中的Xpress浏览器来将用户的HTTPS通信传输到自己的服务器上进行解密。 这些被解密的数据中包含一些敏感的信息，例如金融机构的内部资料、用户加密的邮件等…

这个问题是被Unisys印度分部的一位名为Gaurang Pandya的安全研究员所发现的。Nokia承诺：虽然他们会解密这些信息，但用户无需担心他们会进行越权操作。

其实不只是Nokia的Xpress、Opera Mini等浏览器也会进行类似的操作。他们之所以解密数据的主要原因是为了保持浏览器良好的用户体验，加快浏览速度，节省网络流量。

我们知道，这类浏览器通常有一个代理（proxy）功能，开启代理时，用户通过浏览器的所有流量都会走浏览器的服务器转发，而不是直接连接到网址。例如，当你通过浏览器访问Gmai时，实际上你的请求被发到他们的服务器，他们的服务器以你的身份去访问Gmail，登陆并返回页面，然后他们会对页面进行渲染等优化处理，降低页面大小并压缩，再将数据返回到你的手机。

虽然这个做法的初衷并无恶意，提高流畅度也是浏览器竞争时的一项关键技术，但诺基亚的承诺是否真的可信呢？我请教了安天实验室的高级研究员肖梓航，他认为这种方案无疑是不安全的。浏览器的代理服务器将获得你所有HTTPS通信的明文数据，包括大量个人隐私和几乎所有的账号、密码。虽然他们声称不会保存或访问这些数据，然而，即便他们自己做到，威胁还可能来自于三个方面：

1. 服务器被攻击后，所有中转数据可能被攻击者看到；

2. 内部员工的越权操作（对云端服务器的越权操作在Google这样的公司都曾出现）；

3. 根据当地法律的不同，政府可能有权要求服务器运营者提供其内部数据用于各类目的。