anonymous@RULINUX.NET~# Last login: 2025-02-15 22:28:09
Регистрация Вход Новости | Разметка | Пользователи | Галерея | Форум | Статьи | Неподтвержденное | Трекер | Правила форума | F.A.Q. | Ссылки | Поиск


Re:Опять скандал с фальшивыми сертификатами - теперь Нокия спалилась на MitM-атаке на своих же юзеров

11.01.2013 15:13  Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильных телефонов


Один из индийских экспертов по безопасности заинтересовался фактом перенаправления трафика на транзитный сервер при попытке обращения к сайтам со штатного браузера (Nokia Browser 2.2.0.0.31) мобильного телефона Asha (Series 40) от компании Nokia. В итоге было выявлено, что компания осуществляет транзитную дешифровку HTTPS-трафика на своём прокси сервере. 

Метод основан на подмене IP-адреса DNS-сервером Nokia, из-за чего запрос клиента перенаправлялся на прокси-сервер компании, от имени которого с SSL-сертификатом Nokia возвращается ответ, в котором транслируется содержимое HTTPS-сеанса, установленного между прокси и запрошенным клиентом сайтом. Никаких предупреждений о нарушении безопасности у клиента не выводилось, так как на телефон предустановлен SSL-сертификат, доверяющий данным с домена cloud1.browser.ovi.com, который фигурирует в сеансах между клиентом и прокси. 

Компания Nokia заверила, что указанная техника используется исключительно для ускорения доступа к сайтам, никакие данные не оседают и не анализируются на серверах компании. Кроме того, в выпущенном сегодня обновлении мобильного браузера Nokia акселерация HTTPS-трафика прекращена и прокси Nokia теперь не вклинивается в подобный трафик, пропуская его в неизменном виде.


(c) http://www.opennet.ru/opennews/art.shtml?num=35810

anonymous(*)(2013-01-14 14:29:56)

Тема:

Ваш комментарий:

Выберите фильтр: матерные выражения
торсионщина
нацпол
спам
флуд
порно
изображения
модераторские/пользовательские фильтры
captcha
Введите символы либо ответ (если на картинке задача):

Пользователям браузеров без CSS: Поле для проверки, заполнять НЕ НАДО:




(c) 2010-2020 LOR-NG Developers Group
Powered by TimeMachine

Valid HTML 4.01 Transitional Правильный CSS!