Seguridad Informática #BOFHers

Inicio » Hacking » Nokia (y Opera Mini) desencripta el tráfico https de sus teléfonos móviles

Nokia (y Opera Mini) desencripta el tráfico https de sus teléfonos móviles

Archivo

Haz clic para seguir este blog y recibir notificaciones de nuevos mensajes por correo electrónico.

Twitter

Error: Twitter no responde. Por favor, espera unos minutos y actualiza esta página.

Un experto en seguridad de origen indio, Gaurang K Pandya, descubrió hace unos días que el navegador web que incluyen los dispositivos móviles de Nokia, envían todo el tráfico generado en los móviles a través de unos servidores proxy de Nokia, los cuales se encargan de comprimir la información entre el móvil e Internet para reducir el consumo de datos.

Esto no es nada nuevo, Opera Mini (en el que está basado el navegador web de Nokia) hace lo mismo, aunque, a diferencia de Nokia, no tiene reparos en mostrarte el funcionamiento de su navegador accediendo a servicios https como tu banco, tu correo, etc.

En ambos casos el funcionamiento consiste en que cuando accedes a través de protocolo seguro https a, por ejemplo, tu banco, estos navegadores web establecen una comunicación segura entre el dispositivo móvil y el servidor proxy de Nokia (o de la empresa Opera dependiendo cual de los dos navegadores uses) empleando un certificado seguro propio del servidor proxy, allí la información es desencriptada para posteriormente volverse a encriptar cuando el proxy conecta contra el banco.

Esto significa que toda la información que tú crees que viaja segura gracias al https, tus claves, tus datos bancarios, o tus emails si accedes a Gmail desde esos navegadores, está siendo convertida a texto normal, leible por cualquiera, durante su paso por los servidores proxy de Nokia… lo que solemos llamar un ataque de Man in the Middle.

Nokia ha admitido esta práctica, aunque dice que no nos preocupemos, que no almacenan esos datos y que el desencriptado se hace de manera segura, que han establecido medidas técnicas y organizativas para evitar el acceso a esta información privada… ¿Recordáis las medidas que tomó White Star para hacer del Titanic un buque insumergible?

En informática no es posible aseverar que un servicio es seguro con una certeza del 100%, incluido un protocolo seguro como https, que puede dejar de serlo por una mala implementación del software que lo maneja, como ha pasado recientemente con Windows Vista, 7, 2008, 2012 y RT.

Que una compañía haga un proceso de Man in the Middle a sus usuarios, ya sea Nokia (que encima no lo advertía de manera sencilla a sus usuarios), Opera o cualquier otra es una temeridad que puede dejar al descubierto no solo cuentas de correo a las que se ha accedido por webmail, sino información más sensible como datos bancarios, claves de operación en cuentas, etc. a nada que un fallo de seguridad permita a empleados de la compañía o terceros  escuchar el tráfico interno de la máquina… y ya hemos visto en otros posts de este blog la cantidad de técnicas que hay para hacerlo.

Si usáis cualquiera de estos dos navegadores web, que también están disponibles para otros dispositivos móviles como Android y Windows 7.5 y 8, tened mucho cuidado con los datos que le proporcionáis durante la navegación web, sobre todo en sitios seguros y con información sensible.

Más información, en inglés:

Nokia phone forcing traffic through proxy

Nokia’s MITM on HTTPS traffic from their phone

Anuncios

2 comentarios

  1. Hola,en referencia al browser Opera Mini, como usuario del mismo ( y de hecho éste comentario lo estoy realizando con la versión 4.4 Oficial y Final de Opera Mini ), les comento que a finales del 2012, Opera Software, realizó una actualización del servidor próxy para su navegador Opera Mini, de modo de darles a los usuarios un servicio seguro al utilizar el protocolo https. El nuevo servidor próxy para Opera Mini NO ALMACENA DATOS al utilizar el protocolo https. No obstante a ésto, hay que mencionar lo siguiente: Hay muchas versiones NO OFICIALES de Opera Mini y por lo tanto, los usuarios que utilicen esas versiones estarían comprometiendo sus datos. Mi consejo es el siguiente: Realizar una descarga directa desde el terminal móvil y hacer la misma desde el Sitio Oficial: y además elegir un Certificado de Firma. Al realizar una descarga directa con nuestro terminal, no corremos el riesgo de virus porque si hacemos la descarga a la PC y luego transferimos el archivo a nuestro Celular y/o Smartphone, el archivo puede sufrir irregularidades. Entonces recuerden, realizar la descarga directa desde el Sitio Oficial y elegir un Certificado de Firma. Saludos desde Santa Fe, Argentina. Dario Komineck

    • El BOFHer dice:

      El problema no reside en que almacene o no los datos, sino en que los datos que deberían ir encriptados desde nuestro terminal hasta el (por ejemplo) banco, son desencriptados por un intermediario, que por muchas medidas de seguridad que ponga, pone en peligro nuestros lo que nosotros creemos que viaja por la red de forma segura.

Los comentarios están cerrados.

A %d blogueros les gusta esto: