<html><head><base href="http://gigaom.com/2013/01/10/nokia-yes-we-decrypt-your-https-data-but-dont-worry-about-it/"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">Ominous signs for the cloud ...<div><br><div><div>On Jan 11, 2013, at 2:51 AM, Mark Crovella wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite">

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Calibri, sans-serif; ">
<div>Seems to me that Nokia is violating the whole concept of TLS. &nbsp; &nbsp;Just goes to show that even a supposedly secure technology like SSL has weak links with respect to certain parties. &nbsp; Or maybe that you should not blindly trust your browser?</div>
<div><br>
</div>
<span id="OLK_SRC_BODY_SECTION">
<div style="font-family:Calibri; font-size:11pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">
<span style="font-weight:bold">From: </span>Eric Carr &lt;<a href="mailto:Eric.Carr@guavus.com">Eric.Carr@guavus.com</a>&gt;<br>
<span style="font-weight:bold">Date: </span>Friday, January 11, 2013 4:35 AM<br>
<span style="font-weight:bold">To: </span>market-research &lt;<a href="mailto:market-research@guavus.com">market-research@guavus.com</a>&gt;<br>
<span style="font-weight:bold">Subject: </span>Nokia: Yes, we decrypt your HTTPS data, but don’t worry about it — Tech News and Analysis<br>
</div>
<div><br>
</div>
<div><base href="http://gigaom.com/2013/01/10/nokia-yes-we-decrypt-your-https-data-but-dont-worry-about-it/"><style id="article-content">
        @media print {
            .original-url {
                display: none;
            }
        }

        h1.title {
            font-family: Palatino, Georgia, Times, "Times New Roman", serif;
            font-weight: bold;
            font-size: 1.33em;
            line-height: 1.25em;
            text-align: start;
            -webkit-hyphens: manual;
        }
        
        h1 {
            font-size: 1.25em;
        }
        
        h2 {
            font-size: 1.125em;
        }
        
        h3 {
            font-size: 1.05em;
        }

        .page.rtl {
            direction: rtl;
        }

        .page a {
            text-decoration: none;
            color: rgb(32, 0, 127);
        }
        
        .page a:visited {
            color: rgb(32, 0, 127);
        }

        #article.auto-hyphenated {
            -webkit-hyphens: auto;
        }

        #article pre {
            white-space: pre-wrap;
        }

        #article img {
            /* Float images to the left, so that text will nicely flow around them. */
            float: left;
            margin-right: 12px;
            
            /* Scale down very wide images, but maintain their intrinsic aspect ratio. */
            max-width: 100%;
            height: auto;
        }
        
        #article img.reader-image-tiny {
            /* Don't float very small images -- let them display where they occur in the text. */
            float: none;
            margin: 0;
        }
        
        #article img.reader-image-large {
            float: none;
            margin: auto;
            margin-bottom: 0.75em;
            display: block;
        }

        #article .leading-image {
            font-family: Helvetica, sans-serif;
            margin-bottom: .25em;
            -webkit-hyphens: manual;
        }

        #article .leading-image img {
            margin: auto;
            float: none;
            display: block;
            clear: both;
        }

        #article .leading-image img.full-width {
            width: 100%;
        }

        #article .leading-image .credit {
            color: #909090;
            font-size: 0.55em;
            margin: 0;
            text-align: right;
            width: 100%;
        }

        #article .leading-image .caption {
            color: #666;
            font-size: 0.7em;
            line-height: 140%;
            margin-top: 0.4em;
            width: 100%;
        }

        #article .leading-image .credit + .caption {
            margin-top: 0.1em;
        }

        .float {
            margin: 8px 0;
            font-size: 65%;
            line-height: 1.4;
            text-align: start;
            -webkit-hyphens: manual;
        }

        .float.left {
            float: left;
            margin-right: 20px;
        }

        .float.right {
            float: right;
            margin-left: 20px;
        }
        
        .float.full-width {
            float: none;
            display: block;
            font-size: 100%;
        }
        
        .page {
            font: 20px Palatino, Georgia, Times, "Times New Roman", serif;
            line-height: 160%;
            text-align: justify;
        }
    
        .page:first-of-type .title {
            display: block;
        }
        
        .page table {
            font-size: 0.9em;
            text-align: start;
            -webkit-hyphens: manual;
        }

        .page-number {
            display: none;
        }
    
        .title {
            display: none;
        }

        @media screen and (max-device-width: 480px) {
            #article.auto-hyphenated {
                -webkit-hyphens: manual;
            }

            .page {
                text-align: start;
            }
        }
    </style>
<title>Nokia: Yes, we decrypt your HTTPS data, but don’t worry about it — Tech News and Analysis</title>
<div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">
<span class="Apple-Mail-URLShareWrapperClass" contenteditable="false"><span class="Apple-Mail-URLShareUserContentTopClass" style="line-height: 14px !important; color: black !important; text-align: left !important; " applecontenteditable="true"><br>
</span><span class="Apple-Mail-URLShareSharedContentClass" style="position: relative !important; " applecontenteditable="true"><base href="http://gigaom.com/2013/01/10/nokia-yes-we-decrypt-your-https-data-but-dont-worry-about-it/">
<div>
<div class="original-url"><a href="http://gigaom.com/2013/01/10/nokia-yes-we-decrypt-your-https-data-but-dont-worry-about-it/">http://gigaom.com/2013/01/10/nokia-yes-we-decrypt-your-https-data-but-dont-worry-about-it/</a><br>
<br>
</div>
<div id="article" onscroll="articleScrolled();" class="auto-hyphenated" style="-webkit-locale: en; ">
<!-- This node will contain a number of 'page' class divs. -->
<div class="page" style="font-family: Palatino, Georgia, Times, 'Times New Roman', serif; font-size: 14px; line-height: 1.4; ">
<h1 class="title">Nokia: Yes, we decrypt your HTTPS data, but don’t worry about it</h1>
<header><section>
<div style="font-style: italic; ">By <a itemprop="author" href="http://gigaom.com/author/superglaze/" title="Posts by David Meyer" rel="author">
David Meyer</a> </div><p><time datetime="2013-01-10T07:16:10-08:00" title="2013/01/10 7:16:10 AM" itemprop="datePublished">12 hours ago
</time></p>
</section><section>
<h3 data-comment-count="31"><a href="http://gigaom.com/2013/01/10/nokia-yes-we-decrypt-your-https-data-but-dont-worry-about-it/#comments" title="Comment on Nokia: Yes, we decrypt your HTTPS data, but don’t worry about it"><i></i>31 Comments</a></h3>
</section></header><section style="font-style: italic; ">
<ul>
<li><a href="x-msg://430/" title="Decrease font size">A<i></i></a> </li><li><a href="x-msg://430/" title="Increase font size">A<i></i></a> </li></ul>
<div>
<div class="float right" style="width: 315px; ">
<div title="Permalink to Nokia: Yes, we decrypt your HTTPS data, but don’t worry about it">
<img itemprop="thumbnailUrl" width="300" height="200" src="http://gigaom2.files.wordpress.com/2013/01/asha-handsets.jpg?w=300&amp;h=200&amp;crop=1" alt="Asha handsets" style="float: none; "></div>
</div>
</div>
<div itemprop="description"><span>Summary:</span><p>The company has confirmed that the Xpress Browser used on its Asha and Lumia handsets does route HTTPS traffic via its servers, temporarily decrypting it as it does so. However, Nokia maintains that it wouldn’t access complete unencrypted information.</p>
</div>
</section><section itemprop="articleBody">
<div><p>Nokia has confirmed reports that its Xpress Browser decrypts data that flows through HTTPS connections – that includes the connections set up for banking sessions, encrypted email and more. However, it insists that there’s no need for users to panic because
 it would never <i>access</i> customers’ encrypted data.</p><p>The confirmation-slash-denial comes after security researcher Gaurang Pandya, who works for Unisys Global Services in India,
<a href="http://gaurangkp.wordpress.com/2012/12/05/nokia-proxy/">detailed on his personal blog</a> how browser traffic from his Series 40 ‘Asha’ phone was getting routed via Nokia’s servers. So far, so Opera Mini: after all, the whole point of using a proxy
 browser such as this is to <a href="http://gigaom.com/2010/07/14/shrinking-data-plans-may-help-opera-mini-grow/">
compress traffic</a> so you can save on data and thereby cash. This is particularly handy for those on constricted data plans or pay-by-use data, as those using the low-end Series 40 handsets on which the browser is installed by default (it
<a href="http://www.developer.nokia.com/Develop/Series_40/Nokia_Browser_for_Series_40/">
used to be known as the ‘Nokia Browser for Series 40′</a>) are likely to be.</p><p>However, it was Pandya’s second post on the subject that <a href="http://thenextweb.com/insider/2013/01/09/nokia-seems-to-be-hijacking-traffic-on-some-of-its-phones-grabbing-your-https-data-unencrypted/">
caused some alarm</a>. Unlike the first, which looked at general traffic, the <a href="http://gaurangkp.wordpress.com/2013/01/09/nokia-https-mitm/">
Wednesday post</a> specifically examined Nokia’s treatment of HTTPS traffic. It found that such traffic was indeed also getting routed via Nokia’s servers. Crucially, Pandya said that Nokia had access to this data in unencrypted form:</p>
<blockquote><p>“From the tests that were preformed, it is evident that Nokia is performing Man In The Middle Attack for sensitive HTTPS traffic originated from their phone and hence they do have access to clear text information which could include user credentials to various
 sites such as social networking, banking, credit card information or anything that is sensitive in nature.”</p>
</blockquote><p>Pandya pointed out how this potentially clashes with Nokia’s privacy statement, which claims: “we do not collect any usernames or passwords or any related information on your purchase transactions, such as your credit card number during your browsing sessions”.</p><p>So, <i>does</i> it clash?</p><p>Nokia came back today with a statement on the matter, in which it stressed that it takes the privacy and security of its customers and their data very seriously, and reiterated the point of the Xpress Browser’s compression capabilities, namely so that “users
 can get faster web browsing and more value out of their data plans”.</p>
<blockquote><p>“Importantly, the proxy servers do not store the content of web pages visited by our users or any information they enter into them,” the company said. “When temporary decryption of HTTPS connections is required on our proxy servers, to transform and deliver
 users’ content, it is done in a secure manner.</p><p>“Nokia has implemented appropriate organizational and technical measures to prevent access to private information. Claims that we would access complete unencrypted information are inaccurate.”</p>
</blockquote><p>To paraphrase: we decrypt your data, but trust us, we don’t peek. Which is, in a way, fair enough. After all, they need to decrypt the data in order to de-bulk it.</p><p>The issue here seems to be around how Nokia informs – or fails to inform – its customers of what’s going on. For example, look at Opera. The messaging around Opera Mini is pretty clear: the browser’s
<a href="http://www.opera.com/mobile/help/faq/">FAQs</a> spell out how it routes traffic. Although you can find out about the Xpress Browser’s equivalent functionality with a bit of online searching, it’s far less explicit to the average user. And this is particularly
 unfortunate given that the browser is installed by default — people won’t necessarily choose it based on those data-squeezing chops.</p><p>And it looks like Nokia belatedly recognizes that fact. The statement continued:</p>
<blockquote><p>“We aim to be completely transparent on privacy practices. As part of our policy of continuous improvement we will review the information provided in the mobile client in case this can be improved.”</p>
</blockquote><p>The moral of the story is that those who want absolute security in their mobile browsing should probably steer clear of browsers that compress to cut down on data. Even if Nokia isn’t tapping into that data – and there is no reason to suspect that it is
 – the very existence of that feature will be a turn-off for the paranoid, and reasonably so. And that’s why Nokia should be up-front about such things.</p><p>UPDATE: A kind soul has reminded me that, unlike Xpress Browser and Opera Mini, two other services that also do the compression thing leave HTTPS traffic unperturbed, namely
<a href="https://www.eff.org/2011/october/amazon-fire%E2%80%99s-new-browser-puts-spotlight-privacy-trade-offs">
Amazon with its Silk browser</a> and <a href="http://www.skyfire.com/about/privacy-and-security">
Skyfire</a>. This is arguably how things should be done, although it does of course mean that users don’t get speedier loading and so on on HTTPS pages.</p><div><br class="webkit-block-placeholder"></div>
</div>
</section><footer><!-- postloop fetched from cache, generated on Fri, 11 Jan 13 03:34:04 +0000 --><div><br class="webkit-block-placeholder"></div>
<!-- postloop fetched from cache, generated on Fri, 11 Jan 13 03:34:04 +0000 --><div><br class="webkit-block-placeholder"></div>
</footer></div>
</div>
</div>
</span><span class="Apple-Mail-URLShareUserContentBottomClass" style="line-height: 14px !important; color: black !important; text-align: left !important; " applecontenteditable="true"><br>
</span></span></div>
</div>
</span>
</div>

_______________________________________________<br>Softphone mailing list<br><a href="mailto:Softphone@cs.bu.edu">Softphone@cs.bu.edu</a><br>http://cs-mailman.bu.edu/mailman/listinfo/softphone<br></blockquote></div><br></div></body></html>