据国外科技博客网站Gigaom报道,针对此前有报道称,Xpress通过HTTPS连接,获取并解密了包括银行业会议、加密的电子邮件等用户数据。诺基亚日前对此予以确认。但诺基亚强调,用户没有必要为此恐慌,其承诺将确保数据安全,因为它永远不会访问客户的这些加密数据。
在此之前,优利系统全球服务部门(Unisys Global Services)驻印度的安全研究员潘迪亚(Gaurang Pandya)发现了这一问题,并在其个人博客上发布了两篇关于诺基亚浏览器是如何通过压缩数据、节省流量并致用户数据解密的细节报道。潘迪亚使用了一款诺基亚的40系列的“Asha”。
潘迪亚在第一篇博文中着重解释了浏览器的流量压缩;但在第二篇博文中潘迪亚对诺基亚的HTTPS数据流量进行了专门研究,并对此提出安全方面质疑。潘迪亚发现,类似传输也的确通过了诺基亚的,但至关重要的是:在数据被解密的情况下,诺基亚曾访问过这些数据。
潘迪亚在其博客中称,“从预定的测试中可以看出,很明显,诺基亚正在以‘裁判’身份的对来自其手机用户、经由HTTPS的敏感数据进行访问,他们可获得清晰的文本信息,这些信息可能包括各种网站的用户凭证,比如、银行、信用卡信息或者是其他敏感信息。”
潘迪亚指出,诺基亚的这一潜在做法与其隐私声明发生冲突,其隐私声明中写道:“我们不会收集任何用户名或密码,或用户购买过程中的任何相关信息,比如在你浏览器上的信用卡号码。”
诺基亚的这一行为是否与其隐私声明冲突呢?
诺基亚就此发表声明,它强调,它们对于客户数据的隐私和安全持非常严肃态度,并重申这种行为基于Xpress浏览器的压缩功能,是一项可以使“用户得到更快的网页浏览和更有价值的数据计划”。
诺基亚在这份声明中还表示,“重要的是,并不储存用户访问的网页内容或用户输入的任何信息。代理服务器要求对HTTPS连接的内容进行暂时解密,达到转换和传输用户内容目的,这一过程在安全方式下进行。诺基亚采取适当的组织和技术措施,目的是阻止他人获得私人信息。而此前关于诺基亚访问完全未加密的信息的报道是不准确的。”
解读诺这一声明,其实诺基亚想表达的意思是:我们解密你的数据,但是请相信我们,我们不会偷看。在某种程度上来看,诺基亚说的有道理,毕竟他们需要将数据进行解密,其目的是为了散装数据、节约流量。
当然,这还涉及到诺基亚对其浏览器信息声明问题:诺基亚是否告知了其客户关于浏览器产品可能发生的一切问题。比如就在其“常见问题解答”中,对其产品——浏览器的工作路径进行了详尽说明。
无论如何,姗姗来迟的诺基亚声明还是承认这一事实。诺基亚在该声明中还称,“我们的目标做到隐私政策的完全透明。作为我们政策的持续改进,我们将把这些信息反馈到移动客户端,使其逐步完善。”
这一事件提醒我们,对于那些想要在器上获得绝对安全的用户,应该避开使用浏览器来压缩数据。