诺基亚官方在近日确认一则传闻:他们确实利用了Asha系列和Lumia系列手机中的Xpress浏览器来将用户的HTTPS通信传输到自己的服务器上进行解密。 这些被解密的数据中包含一些敏感的信息,例如金融机构的内部资料、用户加密的邮件等…
这个问题是被Unisys印度分部的一位名为Gaurang Pandya的安全研究员所发现的。Nokia承诺:虽然他们会解密这些信息,但用户无需担心他们会进行越权操作。
其实不只是Nokia的Xpress、Opera Mini等浏览器也会进行类似的操作。他们之所以解密数据的主要原因是为了保持浏览器良好的用户体验,加快浏览速度,节省网络流量。
我们知道,这类浏览器通常有一个代理(proxy)功能,开启代理时,用户通过浏览器的所有流量都会走浏览器的服务器转发,而不是直接连接到网址。例如,当你通过浏览器访问Gmai时,实际上你的请求被发到他们的服务器,他们的服务器以你的身份去访问Gmail,登陆并返回页面,然后他们会对页面进行渲染等优化处理,降低页面大小并压缩,再将数据返回到你的手机。
虽然这个做法的初衷并无恶意,提高流畅度也是浏览器竞争时的一项关键技术,但诺基亚的承诺是否真的可信呢?我请教了安天实验室的高级研究员肖梓航,他认为这种方案无疑是不安全的。浏览器的代理服务器将获得你所有HTTPS通信的明文数据,包括大量个人隐私和几乎所有的账号、密码。虽然他们声称不会保存或访问这些数据,然而,即便他们自己做到,威胁还可能来自于三个方面:
1. 服务器被攻击后,所有中转数据可能被攻击者看到;
2. 内部员工的越权操作(对云端服务器的越权操作在Google这样的公司都曾出现);
3. 根据当地法律的不同,政府可能有权要求服务器运营者提供其内部数据用于各类目的。
0 条评论
请「登录」后评论