Omdirigering og dekryptering av mobiltrafikk: Er nettleseren din en MitM?

Hvis du tror at HTTPS-trafikk fra din mobile nettleser reiser uendret og kryptert trygt helt til den eksterne webserveren du ba om informasjon fra, ikke vær så sikker. Opera Mini-utviklere ble spurt:

Er det noen end-to-end sikkerhet mellom håndsettet mitt og - for eksempel - paypal.com eller banken min?

Svaret:

Opera Mini bruker en transkoderserver for å oversette HTML / CSS / JavaScript til et mer kompakt format. Det vil også krympe alle bilder for å passe til skjermen på håndsettet. Dette oversettelsestrinnet gjør Opera Mini raskt, lite og også veldig billig å bruke. For å kunne gjøre denne oversettelsen, må Opera Mini-serveren ha tilgang til den ukrypterte versjonen av websiden. Derfor er ingen ende-til-ende-kryptering mellom klienten og den eksterne webserveren mulig.

For å utelukke enhver tvil:

Hvis du trenger full ende-til-ende-kryptering, bør du bruke en full nettleser som Opera Mobile.

Bare for å være tydelig "ende-til-ende-kryptering", betyr i dette tilfellet HTTPS (kryptert) trafikk til en ekstern webserver, en bank for eksempel, uten hemning (ikke dekryptert).

Jeg bruker ikke noen av Opera sine nettlesere. Jeg vil være ærlig, selv om jeg brukte Opera, hadde jeg ikke visst om omdirigering. Jeg begynte bare å sjekke hva mobile nettlesere gjorde, etter at en kollega informerte meg om at teknisk presse korsfestet Nokia for å gjøre noe lignende.

Hvordan det startet

Omveltningen om mobile nettlesere startet da Gaurang Pandya, infrastruktur for sikkerhetsarkitekt hos Unisys Global Services India, bestemte HTTP-nettleserforespørsler på sin Nokia-telefon ble uventet omdirigert til Nokia-servere. Gaurang forklarer på sin personlige bloggside:

Det har blitt lagt merke til at Internett-surfingstrafikk, i stedet for å treffe direkte på ønsket server, blir omdirigert til proxy-servere. De blir omdirigert til Nokia / Ovi proxy-servere hvis Nokia-nettleseren brukes og til Opera proxy-servere hvis Opera Mini-nettleseren brukes.

Så prøvde Gaurang å omskifte omdirigering:

Jeg kunne ikke se noen enkel måte å omgå denne proxy-innstillingen og la internettrafikken min passere normalt. Denne oppførselen blir lagt merke til uavhengig av om surfingen gjøres via 3G- eller Wi-Fi-nettverkstilkoblinger.

Gaurang var ikke ferdig; han bestemte seg for å se om det samme gjaldt for HTTPS nettleserforespørsler. Han fant svaret og la ut funnene sine i dette blogginnlegget:

I t er tydelig at Nokia utfører en Man In The Middle Attack for sensitiv HTTPS-trafikk som stammer fra telefonen deres, og at de derved har tilgang til klar tekstinformasjon som kan inkludere brukeropplysninger til forskjellige nettsteder som sosiale nettverk, bank, kredittkortinformasjon, eller noe som er sensitivt.

Unødvendig å si at Gaurangs kommentarer fikk mye oppmerksomhet. Blogginnlegget fikk 10.000 visninger i løpet av det første døgnet, og har for øyeblikket 20 sider med kommentarer som diskuterer om å omdirigere trafikk "offisielt" kan kalles en mann i Midt-angrep eller ikke. Jeg kommer til det senere. Akkurat nå vil jeg fokusere på kommentaren fra Mark Durant, Nokia Communications:

Vi tar privatlivet og sikkerheten til våre forbrukere og deres data veldig alvorlig. Komprimeringen som oppstår i Nokia Xpress Browser betyr at brukere kan få raskere nettlesing og mer verdi ut av dataplanene sine. Det er viktig at proxyserverne ikke lagrer innholdet på websider som besøkes av brukerne våre, eller informasjon de legger inn i dem. Når midlertidig dekryptering av HTTPS-tilkoblinger er nødvendig på våre proxy-servere, for å transformere og levere brukernes innhold, gjøres det på en sikker måte.

Denne bekreftelsen fra Nokia stilte praktisk talt til dem som var uenige i Gaurangs resultater.

Hvorfor gjøre det?

Hvorfor gå gjennom alt dette? Utviklerne måtte vite at det ville være push tilbake fra folk bekymret for personvern. Som nevnt i sitatet ovenfor handler det om å organisere nettsiden for hastighet og visning på en mobil enhet. Spørsmålet blir da hva har en mann i midten angrep, en fullmaktsomvisning, eller hva du vil kalle det å gjøre med å forbedre den mobile nettleseropplevelsen?

Mobil nettlesere er ikke så kraftige som de som er installert på datamaskiner. For å hjelpe, skifter Nokia og Opera det meste av gjengivningsarbeidet fra den mobile nettleseren til nettleserens hjemmeserver, som etter å ha optimalisert webkoden sender websiden informasjon tilbake til den mobile nettleseren for visning.

Problemet er når trafikken fra den mobile nettleseren er kryptert (HTTPS). Nokia- eller Opera-serverne kan ikke manipulere responsen på websiden. Så Nokia og Opera har endret sine mobile nettlesere for å sette opp en kryptert lenke til serverne sine. Det vil si at HTTPS-trafikken vi ser, er også HTTPS-trafikken Nokia og Opera kan dekryptere ettersom de har krypteringsnøklene.

Det kan hjelpe å se på en av Gaurangs tester. Han så på hva som skjedde da mobilnettleseren hans fra Nokia sendte ut en nettforespørsel for Google.com.

Her er trinnene:

  • Mobil nettleser prøver å koble seg til https://www.google.com.
  • Tilkoblingen blir omdirigert til https://cloud13.browser.ovi.com (Nokia-serveren sett i lysbildet over).
  • Den mobile nettleseren mottar et gyldig HTTPS-sertifikat for cloud13.browser.ovi.com, ikke Google.com.
  • Serveren bak cloud13.browser.ovi.com kobler til https://www.google.com, og fungerer som den mobile nettleseren av proxy.
  • Nokias server replikerer forespørsler, og svarer mellom mobil nettleser og Google.com.

En måte å se på det - det er to distinkte krypteringsprosesser, en på mobilnettleseren og en på Nokia-serveren. Spørsmålet blir da om vi er komfortable med Nokia, Opera eller hvilken som helst mobilnettleserutvikler som griper inn, og har muligheten til å gjøre hva de vil med det vi anser som sensitiv informasjon, ellers, hvorfor bruker vi HTTPS-kryptering?

Midlertidige løsninger

Jeg har prøvd å finne ut hvilke mobile nettlesere som bruker denne tilnærmingen, men det går sakte å bla gjennom personvernreglene og kontakte utviklerne. Foreløpig kan den beste tilnærmingen være å anta enhver mobil nettleser som viser HTTP, og spesielt HTTPS-websider på en annen måte enn på en datamaskin, bør være mistenkt.

Jeg bruker allerede en proxy-tjeneste med datamaskinen og mobilenhetene mine, så jeg tror jeg ubevisst har unngått dette problemet. Dette kan være en alternativ løsning for de som er opptatt av sensitiv informasjon som blir kontrollert av enda en organisasjon.

Siste tanker

Jeg burde vært klar over HTTPS trafikkomdirigering. Jeg har skrevet to artikler, "Ashkan Soltani introduserer MobileScope, en innovativ tilnærming til personvern på nettet" og "Finn ut hvilke mobilapper som stjeler identiteten din, " der begge applikasjoner brukte omdirigeringsteknikker.

Jeg ønsket også å nevne at Gaurang har en oppdatering på bloggen sin, der han sier at Nokia fortsatt bruker HTTPS proxy-viderekobling, men bruker ikke lenger MitM-teknologi, et godt tegn de lyttet til. Jeg ble spurt om hvorfor Nokia ble så opptatt av å bruke viderekobling, og ikke Opera. Jeg må si det fordi Opera var foran med det, og det var ikke Nokia.

Jeg vil avslutte med et sitat fra Bruce Schneier, kjent sikkerhetsekspert:

Dette er et område der sikkerhetsmessige problemer opphører mot andre problemer. Nokias svar, som i utgangspunktet er "stol på oss, vi ser ikke på dataene dine, " vil i økende grad bli normen.

Jeg vil takke Gaurang for forskningen hans, og la meg bruke sitater og lysbilder fra bloggsiden hans.

© Copyright 2021 | mobilegn.com