Nokia’nın Asha ve Lumia cihazları için çıkardığı Xpress Browser adlı mobil internet tarayıcısının HTTPS trafiğinin kodlarını çözdüğü şeklindeki iddialar doğrulandı. Nokia’dan gelen açıklamadan HTTPS protokolü altında iletilen şifrelenmiş verilerin Nokia sunucuları içinden geçerken geçici olarak çözüldüğü vurgulandı. Bu, Nokia’nın Xpress internet tarayıcısı üzerinden gerçekleştirilen her türlü bankacılık, şifrelenmiş e-posta ve bunun gibi diğer şifrelenmiş, HTTPS bağlantılı işlemlerin Nokia’nın sunucularından geçerken çözüldüğü anlamına geliyor.
Nokia bu durumu doğrulamakla birlikte insanların endişelenmeleri gereken bir durum olmadığını, çünkü müşteri verilerine hiçbir zaman erişmeyeceğini kaydetti. Nokia’nın şifrelenmiş web trafiğini çözdüğü iddiası Gaurang Pandya adındaki Hintli bir güvenlik araştırmacısı tarafından ortaya atılmıştı. Bu araştırmacı Series 40 tabanlı Asha cihazı üzerinden gerçekleştirdiği güvenli web oturumunun Nokia sunucuları üzerinden nasıl yönlendirildiğini detaylarıyla açıklamıştı.
Güvenlik araştırmacısı genel trafiğin Nokia sunucuları üzerinden yönlendirildiğini kaydetmişti. Nokia sunucuları üzerindeki bu yönlendirme kapsamında web sayfaları sıkıştırılıyor ve kullanıcının ilgili web sitesini oldukça küçük bir veri aktarımıyla görüntülemesi mümkün oluyordu. Sonuç olarak bir web sitesini normale göre daha küçük boyutlu bir dosya iletimiyle görüntülemek kullanıcının mobil internet paketini de daha idareli şekilde kullanması anlamına geliyordu. Ayrıca bu durum daha düşük hızlı bağlantılarda bile web sitesinin daha kısa sürede yüklenmesine olanak sağlıyordu. Ne var ki, araştırmacı güvenli olarak nitelendirilen HTTPS trafiğinin de Nokia sunucuları içinden geçtiğini ve Nokia’nın bu verilere şifrelenmemiş formda erişme şansının bulunduğunu da iddia etmişti.
Pandya, bunu Nokia’nın “man-in-the-middle” olarak adlandırılan bir saldırı gerçekleşirdiğine yönelik bir kanıt olarak yorumlamış, Nokia’nın kullanıcıların sosyal ağlara, banka sitelerine ve bunun gibi HTTPS ile iletilen her türlü gizli bilgiye ulaşabileceğini kaydetmişti. Buna ek olarak araştırmacı bilgilerin şifresini çözmenin Nokia’nın, satın alma işlemlerinin gerçekleştirilmesi sırasında kullanıcı adı ve şifrelerin toplanmadığını içeren gizlilik şartnamesine de aykırı olduğunu öne sürmüştü.
Nokia tüm bu iddialara sunucuları üzerinden geçen herhangi bir veriyi depolamadığını söyleyerek karşı çıktı. Şirketin açıklamasında vekil sunucuların kullanıcılar tarafından ziyaret edilen web sitelerinin içeriklerini veya kullanıcıların girdiği herhangi bir veriyi depolamadığının altı çizildi. Kullanıcılara ait içeriğin iletimi ve dağıtımı için vekil sunucularda HTTPS bağlantılarının geçici olarak çözülmesinin gerekli olduğu durumlarda, bu işlemin tamamen güvenli bir süreç dahilinde gerçekleştiği de vurgulandı. Buna ek olarak Nokia’nın gizli bilgilere erişimi önlemek için her türlü organizasyonel ve teknik önlemi aldığı da kaydedildi. Şirket şifresi çözülmüş verilere eriştikleri şeklindeki iddiaları kesin bir dille yalanladı.
İlgili >> GigaOM
Teknoblog’u X, Flipboard, Google Haberler ve Instagram‘da takip et!
