Non che la concorrenza faccia meglio, ma da Nokia davvero non ce lo si aspettava. Il ricercatore di sicurezza Gaurang Pandrya aveva postato un articolo sul suo blog alla fine di dicembre sul comportamento alquanto strano del suo Nokia Asha 302. Il ragazzo aveva notato che il traffico di navigazione web, attraverso il browser proprietario di Nokia (conosciuto come Xpress) e Opera Mini, veniva deviato altrove prima di raggiungere direttamente il server richiesto. Mentre navigava su qualsiasi sito, Gaurang aveva rilevato che il nome dell’host della pagina visualizzata nel browser non era assimilabile all’host vero e proprio, ma rimandava a server della Nokia che facevano da “filtro” nel traffico dei dati. Con molto stupore il ricercatore aveva scoperto che, oltre a controllare la navigazione web, Nokia prendeva in considerazione anche altri dati dell’utente tra cui la posta elettronica e i messaggi su Twitter, app che utilizzano lo stesso browser Nokia.

Anche dopo aver controllato le impostazioni Gaurang non è riuscito ad aggirare la deviazione messa in atto dal produttore e quindi lasciare che il traffico web procedesse normalmente. Lo stesso comportamento avviene se si utilizza, su terminale Asha, il browser Opera Mini. Anche in questo caso le intestazioni e i parametri HTTP indicano esattamente gli stessi valori del browser Nokia. Questo comportamento ha indotto il ricercatore a farsi alcune domande riguardo alla privacy degli utenti Nokia Asha e al fatto che (sembra) ci sia uno strano accordo tra l’azienda finlandese e la Opera Software, con sede principale in Svezia.

Ma la vera bomba è stata lanciata solo qualche giorno fa quando Gaurang ha pubblicato un nuovo articolo sulla questione riguardo alcuni test specifici sul traffico che, in teoria, dovrebbe sempre essere cifrato, cioè quello HTTPS. Dalle prove condotte il ricercatore ha concluso come Nokia abbia messo in atto vere e proprie procedure di attacchi Man-in-the-middle ovvero un tipo di attacco che permette all'aggressore di leggere e modificare il contenuto presente nel dispositivo preso di mira, senza che il proprietario se ne accorga. In questo senso Nokia potrebbe avere accesso a dati sensibili fondamentali, come le credenziali di accesso ai social network, posta elettronica e siti di home banking. Questo vuol dire che la Nokia si pone tra la banca e gli utenti. Un comportamento che non sarebbe normalmente possibile se non fosse che il telefono è stato progettato apposta per comportarsi in questo modo, lavorando con certificati Nokia che dovrebbero tutelare l’utente piuttosto che ingannarlo.

Un portavoce di Nokia ha dichiarato a TechWeek Europe che l’azienda ha messo in atto questa pratica per facilitare gli utenti: “La compressione dei dati che si verifica all'interno del browser Nokia Xpress permette agi utenti di navigare in modo più veloce. Per questo abbiamo attivato una decodifica temporanea delle connessioni (anche HTTPS) sui nostri server, in modo sicuro”. Quello che è certo è che Nokia è stata presa con le mani nel sacco. Non si spiegherebbe altrimenti il rilascio il 10 gennaio di una versione aggiornata del Nokia Xpress. Secondo Gaurand la release 2.3.0.0.48 è libera da intercettazioni su siti HTTPS anche se ha notato che il resto del traffico HTTP passa sempre dai server Nokia. Il lupo perde il pelo ma non il vizio, anche in Finlandia.

Seguimi su Twitter: @Connessioni