» »

Nokia na svojih telefonih izvaja SSL MITM napade, a bojda le zaradi hitrejšega prenosa

Nokia na svojih telefonih izvaja SSL MITM napade, a bojda le zaradi hitrejšega prenosa

Prikaz MITM napada, (CC) Open Web Application Security Project

Nokiin brskalnik ne pokaže nobenega opozorila, kljub temu, da za zavarovanje povezave uporabi svoj certifikat (na sredi), ne tistega od ciljne domene.

vir: Gaurang Pandya
Gaurang Pandya - Včeraj je indijski varnostni inženir Gaurang Pandya objavil blog post o tem, da Nokia na določenih novejših modelih (zlasti Ashah, za Lumie še ni podatka) izvaja Man-In-The-Middle napad pri spletnem brskanju, in to tudi za HTTPS povezave. Za nešifriran HTTP to ni nič novega, saj večina operaterjev uporablja take ali drugačne http proxy-je za potrebe kontrole in pohitritve mobilnega prometa, pri varnih povezavah se to ne bi smelo dogajati.

Napad je klasičen: ob vzpostavitvi varne povezave se brskalnik namesto z ciljno stranjo (npr. https://paypal.com) poveže z Nokiinim proxy strežnikom (npr. http://cloud13.browser.ovi.com), tudi šifrirano in podpisano, a z Nokijinimi lastnimi certifikati. Proxy strežnik potem sam sproži https povezavo do tarčnega strežnika in čez njo posreduje izvorni brskalniški zahtevek, oz. v drugo smer odgovor. Na ta način lahko vidi celotno vsebino zahtevka, v cleartext obliki. Mobilni brskalnik pa uporabnika o tem ne obvesti, ker je bil tako skonfiguriran.

Nokia je po objavi hitro odgovorila, da to sicer res počno, vendar izključno zato, da lahko vsebino zahtevka še dodatno stisnejo, preden zapusti oz. se vrne k telefonu. Pravijo tudi, da so pri podjetju uvedli ustrezne procedure, ki naj bi preprečile, da katerikoli od zaposlenih dobi dostop do vsebine prometa.

Če naj je to že res, obstajajo še nekateri drugi dvomi. Ob uporabi vgrajenega Nokijinega brskalnika povezava roma na njihove proxy strežnike (ovi.com), pri Operi Mini pa kar na proxy strežnike Opere, nad katerimi Nokia nima nujno take stopnje kontrole. Najbrž je vse skupaj pripravila kar Opera, ki je znana po svojem turbo načinu za pohitritev brskanja po počasnih povezavah. Obenem je Pandva zabeležil, da brskalnik sprejema tudi certifikate z različnimi poddomenami (cloud1.browser.ovi.com, cloud2.., cloud3...), čeprav certifikati niso bili ti. wildcart tipa. To bi lahko pomenilo, da brskalnik sprejema tudi kakšne druge neveljavne certifikate, kot denimo velja za žalostno visok delež android aplikacij. Tudi ni jasno, kaj njihov brskalnik stori, če spletna stran uporablja public key pinning, tj. skupaj z odgovorom pošlje tudi zgoščene različice (hashe) od svojih javnih ssl ključev. Novejši namizni brskalniki, denimo Chome, v tem primeru eksplodirajo, rekoč, da se v omrežju skoraj zagotovo dogaja nekaj čudnega. Slo-Tech je npr. opremljen s pini in se stricto sensu na Nokijinih telefonih tako ne bi smel odpreti.

V vsakem primeru bi Nokia lahko to bolj jasno sporočila, oz. uporabnika vsaj opozorila na dogajanje za kulisami. SSL ima že tako številne konceptualne težave, še mnogo več pa jih nastane zato, ker se nekdo odloči žrtvovati z dobrim razlogom oblikovane varnostne principe v zameno za kakšno manjšo pohitritev ali poenostavitev.

37 komentarjev

enadvatri ::

To pa je zrelo za kazenski pregon, tudi pri nas. Saj sicer hitro lahko postane precedens za naše operaterje, ponudnike IKT storitev itn.

RejZoR ::

Večina takih storitev HTTPS povezave ignorira in jih prenaša brez stiskanja. Tako packarijo bi moralo uporabniku vsekakor javiti in ga povprašati če hoče zaupat HTTPS povezave njim in dobit hitrejši prenos v zameno.
Angry Sheep Blog @ www.rejzor.com

Google Chrom ::

da pa recimo android uporablja googlov dns, pa nikogar ne moti...

cen1 ::

Google Chrom je izjavil:

da pa recimo android uporablja googlov dns, pa nikogar ne moti...

Kaj ima to veze s čemerkoli v tem članku?

BaToCarx ::

Če ne vidiš povezave. haha

jlpktnst ::

Dns man in the middle napad?

Tako da ja, vsi imajo maslo na glavi. V operi mislim da dost jasno piše, da to počnejo...

Elysium ::

Windows Phone 8 in Internet Explorer 10 podpirata takšno kompresijo, prejšnje verzije, ki so bile na starejših Lumijah pa ne. Kolikor se spomnim, se to lahko izklopi. Zadeva naj bi bila pa v delovanju podobna Operi Mini.

http://www.engadget.com/2012/10/29/micr...
http://browserfame.com/429/internet-exp...

Drugih brskalnikov razen IE pa na Windows Phone k sreči ni.

cen1 ::

Ker DNS je res enakovreden temu da ti nekdo preusmerja SSL promet na svoje proxije in svoje certifikate. Halo..

BaToCarx ::

Gre se za stopnjevanje... Dovoliš, dovoliš, pole pa pizdiš ko je prekasno. :P

Hayabusa ::

jlpktnst je izjavil:

Dns man in the middle napad?

Tako da ja, vsi imajo maslo na glavi. V operi mislim da dost jasno piše, da to počnejo...

V Operi mini po defaultu (sploh ne moreš izklopiti), v Operi mobile lahko izklopiš.

Na osnovni strani imaš samo običajen PR stuff
http://www.opera.com/mobile/features/

šele ko klikneš spodaj na "technical specifications" dobiš primerjalno tabelo:
http://www.opera.com/mobile/specs/

Zgodovina sprememb…

  • spremenilo: Hayabusa ()

BaToCarx ::

http://www.opera.com/browser/turbo/ ? Zanimivo tisto z mini, da s ne da sklopit.

Sicer pa nobenega ne moti ko označi tekst in desni klik iskanje, kako recimo pošlje da je preko iskalnika.

Zgodovina sprememb…

  • spremenil: BaToCarx ()

Google Chrom ::

If you're not paying for something, you're not the customer; you're the product being sold.

enadvatri ::

BaToCarx je izjavil:

Gre se za stopnjevanje... Dovoliš, dovoliš, pole pa pizdiš ko je prekasno. :P


Ponudim prst, roke pa ne dam. Kaj pa potem?!

Dej, ne mešaj jabolk in lubenic!

P. S.: SSL povezava je namenjena zagotavljanju komunikacijske tajnosti, ne zgolj neke obče in od olike odvisne zasebnosti!

Zgodovina sprememb…

  • spremenilo: enadvatri ()

Afo ::

Google Chrom je izjavil:

da pa recimo android uporablja googlov dns, pa nikogar ne moti...

Si kdaj prebral kaj dela DNS? Najbrž prvič danes ... potem ko ti je un pred mano napisal da bluziš.

Google Chrom je izjavil:

If you're not paying for something, you're not the customer; you're the product being sold.

Take citate si zmislijo ponudniki, ciljajo pa na ovce. Te si potem lahko mislijo kako zelo so pametne ko so plačale xxx € za nek nepotreben in brezvezen kos softwarea na kakem mobitelu. V resnici pa ovce dobijo samo drago vstopnico v svet kjer so vsi "kul" ... Potem pa če pa je citat res dober, ja potem ga pa tud ovce same uporabljajo, da širijo svojo ozkomiselnost ... sam da se denar vrti.

Kar se pa nokie tiče: verjamem da s tako očitnim korakom niso mislili krast kakih "ključnih" podatkov ali osebnih podatkov ... ampak prav tako srhljivo pa je dejstvo, da očitno niso niti pomislili kako zelo daleč v zaupanja občutljivo območje so s tem stopili in da brez vednosti tega nikakor ne bi smeli narediti.

Afo je izjavil:

Google Chrom je izjavil:

da pa recimo android uporablja googlov dns, pa nikogar ne moti...

Kot da bi primerjal posilstvo s psovko. Bravo. Da dol padeš ob taki miselnosti.

Google Chrom je izjavil:

If you're not paying for something, you're not the customer; you're the product being sold.

Take citate si zmislijo ponudniki, ciljajo pa na ovce. Te si potem lahko mislijo kako zelo so pametne ko so plačale xxx € za nek nepotreben in brezvezen kos softwarea na kakem mobitelu. V resnici pa ovce dobijo samo drago vstopnico v svet kjer so vsi "kul" ... Potem pa če pa je citat res dober, ja potem ga pa tud ovce same uporabljajo, da širijo svojo ozkomiselnost ... sam da se denar vrti.

Kar se pa nokie tiče: verjamem da s tako očitnim korakom niso mislili krast kakih "ključnih" podatkov ali osebnih podatkov ... ampak prav tako srhljivo pa je dejstvo, da očitno niso niti pomislili kako zelo daleč v zaupanja občutljivo območje so s tem stopili in da brez vednosti tega nikakor ne bi smeli narediti.
Bolje biti mlad in neumen, kot samo neumen!

Zgodovina sprememb…

  • spremenil: Afo ()

BaToCarx ::

enadvatri je izjavil:

BaToCarx je izjavil:

Gre se za stopnjevanje... Dovoliš, dovoliš, pole pa pizdiš ko je prekasno. :P


Ponudim prst, roke pa ne dam. Kaj pa potem?!


Haha, prvo ponudi kaj kar lahko, ne kar si lastimo ostali.

Tilen ::

Update of 11th January,2013

Just upgraded my Nokia browser, the version now is 2.3.0.0.48, and as expected there is a change in HTTPS behaviour. There is a good news and a bad news. The good news is with this browser, they are no more doing Man-In-The-Middle attack on HTTPS traffic, which was originally the issue, and the bad news is the traffic is still flowing through their servers.


Mimogrede, Nokia Lumia ne uporablja Nokia brskalnika. Niti ni možnosti, da bi nastavil alternativo. Je pa res, da IE 9 deluje odlično.
413120536c6f76656e696a612c20642e642e

Zgodovina sprememb…

  • spremenil: Tilen ()

Markoff ::

Google Chrom je izjavil:

da pa recimo android uporablja googlov dns, pa nikogar ne moti...

Opravičuješ eno veliko svinjarijo z drugo veliko svinjarijo?

Janša vs. Janković all over again? Silvo Plut vs. Josef Visarionovič Stalin? Gangrape India-style vs. Soviet Army in Berlin 1945-1950?

Butale?
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

jlpktnst ::

Google uporablja za google mail man in the middle napade! Oh wait, google si itak lasti svoj mail in vse tvoje podatke. Razlika je pomoje samo v tem, da google že v pogojih pove, da je vse njihovo, tule pa verjetno piše v pogojih da podatkov ne bodo uporabili. Ali ne? No mene to zanima, kaj piše v TOS. Ker je predvsem to pomembno imho.

AndrejO ::

Google Chrom je izjavil:

da pa recimo android uporablja googlov dns, pa nikogar ne moti...

Bi lahko tole svojo izjavo malo razložil?

Kolikor vem Android uporablja tisti DNS, ki mu ga nastavi omrežje ali pa uporabnik.

ABX ::

A ga lahko ignorirate? Tako neumna izjava ni vredna odgovora.

Glede HTTPS hijacking,
Zdaj vem kaj bleknit ko bo kdo navdušen nad Nokio. Zame je v tem trenutku ta firma na ignore listi, skupaj z Apple.
Najhujše v tej zgodbi je to da browser ne javi da se kaj dogaja.
Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

  • spremenilo: ABX ()

Tilen ::

Ne pozabi, da če že, gre za Asha serijo.
413120536c6f76656e696a612c20642e642e

brodul ::

It's a feature, not a security issue.

:D Se malo pa bomo to imeli.
Pretending to be a mature adult is so exhausting.

Bor H ::

Pa sej imaš tudi bolj obskurne primere. You're holding it wrong.

ABX ::

Tilen je izjavil:

Ne pozabi, da če že, gre za Asha serijo.


Irelevantno. Nokia kot firma si tega ne sme dovoliti, pa tudi če gre samo za en model.
Vaša inštalacija je uspešno spodletela!

enadvatri ::

jlpktnst je izjavil:

Google uporablja za google mail man in the middle napade! Oh wait, google si itak lasti svoj mail in vse tvoje podatke. Razlika je pomoje samo v tem, da google že v pogojih pove, da je vse njihovo, tule pa verjetno piše v pogojih da podatkov ne bodo uporabili. Ali ne? No mene to zanima, kaj piše v TOS. Ker je predvsem to pomembno imho.


Če s svojo el. pošto gostujem pri Google, ima Google tako ali tako njeno vsebino na svojem strežniku in mora ravnati oz. ravna z njo v skladu s pogoji, ki jih vsak uporabnik sprejme - torej sem jih moral pred uporabo sprejeti tudi jaz. Torej gre za klasično razmerje med uporabnikom in ponudnikom z vnaprej točno določenimi pogoji in brez posluževanja obskurnih vektorjev napada.

Če pa nekdo, ne glede na pogoje uporabe, prestreza še eksplicitno zaščiten promet proti prestrezanju in po možnosti ne, da bi uporabnika o tem do potankosti seznanil, promet (npr. do spletne banke, plačilnega posrednika, erotične trgovine ali šolske redovalnice) pa ni njemu namenjen, je vreden vsakega obsojanja in tudi kazenskega pregona!

Zgodovina sprememb…

  • spremenilo: enadvatri ()

TKPhysicist ::

Ja za Lumie je zaj na voljo Nokia Xpress, ki krči podatke predno ti jih pošlje...
Stroji so boljši od ljudi. Pokvarjen stroj se ustavi, pokvarjen človek se ne.

enadvatri ::

Tako pravi naš Kazenski zakonik z dopolnitvami (UPB2):


Napad na informacijski sistem

221. člen

(1) Kdor neupravičeno vstopi ali vdre v informacijski sistem ali kdor neupravičeno prestreže podatek ob nejavnem prenosu v informacijski sistem ali iz njega, se kaznuje z zaporom do enega leta.


IMO si z nobenimi prismojenimi pogoji uporabe ne morejo prilastiti vsega uporabnikovega prometa, to bi bilo zelo sporno.

Zgodovina sprememb…

  • spremenilo: enadvatri ()

Spura ::

enadvatri je izjavil:

Tako pravi naš Kazenski zakonik z dopolnitvami (UPB2):


Napad na informacijski sistem

221. člen

(1) Kdor neupravičeno vstopi ali vdre v informacijski sistem ali kdor neupravičeno prestreže podatek ob nejavnem prenosu v informacijski sistem ali iz njega, se kaznuje z zaporom do enega leta.


IMO si z nobenimi prismojenimi pogoji uporabe ne morejo prilastiti vsega uporabnikovega prometa, to bi bilo zelo sporno.

What is a Blackberry?

Bor H ::

Pri BBju je razlika, da se tega zavedaš ob nakupu. Tudi tu načeloma ne bi bilo nič narobe, če bi bil uporabnik opozorjen.

ABX ::

BB je telefon ki uporabljajo firme kjer je varnost na prvem mestu in se da prednost telefonu ki omogoča čim hitrejšo pisanje mailov.

Za domačo uporabo ni bil nikoli namenjen.
Vaša inštalacija je uspešno spodletela!

Hayabusa ::

Zgodovina sprememb…

  • spremenilo: Hayabusa ()

ABX ::

To je problem ja, ampak ni vezan na BB, temveč na lastnika certifikata.

Obstaja samo ena rešitev proti temu, open source.

Ampak out of the box, je BB nad vsemi. Če pa imaš čas in znanje pa itak greš na droida.
Vaša inštalacija je uspešno spodletela!

enadvatri ::

Po moje ni dovolj, da je uporabnik seznanjen! Takšnih pogojev preprosto ne morejo dati, če želijo tako programje prodajati na trgu. Tu gre za to, da kršijo mojo komunikacijsko zasebnost in to s 3. osebo, ne z njimi. Prepričan sem, da bi bili takšni pogoji uporabe/nakupa po naši zakonodaji (in prav tako evropski) nezakoniti. In mislim, da bo iz tega še hud škandal. EDIT: Da se popravim, morda bi bili zakoniti/dopustni, če bi imeli opt-out funkcijo.

Povsem isto je, kot če bi vaš ISP prestrezal promet med vašim brskalnikom in aplikacijo vaše spletne banke. In seveda, to bi pisalo v naročniški pogodbi, da lahko počnejo ... Ajme meni, kako bi skakali vsi po zraku, od Musarjeve, varuhinje čl. pravic do APEK-a ...

Najmanj, kar bi lahko, je na to eksplicitno opozorili. Najmanj.

Zgodovina sprememb…

  • spremenilo: enadvatri ()

ABX ::

Če se ne motim (verjetno se), je to namenjeno samo trgom kjer je bandwidth slab in drag. Tako da EU ne bo dala prste vmes.
Vaša inštalacija je uspešno spodletela!

McMallar ::

Da se popravim, morda bi bili zakoniti/dopustni, če bi imeli opt-out funkcijo.


Mogoče bi bilo legalno v primeru opt-in, v primeru opt-out pa definitivno ne.
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

ninja4it ::

Mislim da se pri Operi nekaj resnega dogaja ...

Tole v zvezi z mobilnim brskalnikom je itak škandal, zadnje čase pa se nekaj v zvezi s securityhem dogaja tudi pri namiznem brskalniku Opera.
Ravno tole z raznimi certifikati je postalo zelo sumljivo!

Pred kratkim se je šušljalo tudi, da naj bi Facebook prevzel Opero. Potem se ve, da lahko na zasebnost kar pozabiš!

SuperVeloce ::

Tako je, šušljalo in pri tem tudi ostalo.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Dve domeni z istim IPjem

Oddelek: Omrežja in internet
212212 (1389) c3p0
»

Pornhub s HTTPS protokolom nad požrešne ISP-je (strani: 1 2 )

Oddelek: Novice / Zasebnost
5820305 (8962) M.B.
»

Zaščita web servisa

Oddelek: Programiranje
213934 (3181) SeMiNeSanja
»

Nokia na svojih telefonih izvaja SSL MITM napade, a bojda le zaradi hitrejšega prenos

Oddelek: Novice / Varnost
379566 (7334) SuperVeloce
»

Slo-Tech preko TLS povezave (strani: 1 2 3 )

Oddelek: Novice / Obvestila
12016025 (11665) Jst

Več podobnih tem