Nokia ha reconocido que el navegador presente en los teléfonos de sus gamas Lumia y Asha, Xpress Browser, desencripta los datos HTTPS. Es decir, la compañía tiene acceso a información privada y sensible de sus usuarios (como, por ejemplo, de banca en línea o redes sociales). No obstante, aunque Nokia desencripta esta información, desde la empresa han asegurado que esto se hace únicamente para aumentar la velocidad de navegación y que en ningún caso examinan (y mucho menos almacenan) los datos HTTPS a los que tienen acceso.
La noticia surgió poco después de que un investigador especializado en seguridad informática, Gaurang Pandya, publicase una entrada en su blog en la que explicaba y denunciaba la situación, la cual había podido constatar tras un análisis de su navegación.
Pandya observó que su Asha 302 hacía que todo el tráfico pasase a través de un proxy en lugar de acceder de forma directa al servidor solicitado. O, lo que es lo mismo, efectuaba un ataque de intermediario (MitM, por sus siglas en inglés), aunque sin motivaciones perniciosas. En cualquier caso, los usuarios no eran conscientes, pues el teléfono está configurado para aceptar los certificados necesarios, así que no se mostraba ningún mensaje de aviso.
Por su parte, la compañía envió un comunicado para explicar que accedía a estos datos HTTPS con la intención de mejorar la experiencia de usuario:
"Nos tomamos la privacidad y la seguridad de nuestros clientes y sus datos muy seriamente. La compresión que tiene lugar en Nokia Xpress Browser significa que los usuarios pueden tener una navegación más veloz y sacar un mayor valor de sus planes de datos".
Además, Nokia aseguró que los servidores "no almacenan el contenido" de las páginas web que visitan los usuarios, como tampoco lo hacen con la información que introducen en éstas. Por otro lado, la conversión de los datos HTTPS se produce "de forma segura".
"Nokia ha implementado apropiadas medidas organizativas para prevenir el acceso a información privada. Las afirmaciones de que accedemos a información completamente desencriptada no son correctas".
Lo lógico es asumir que la empresa no trató de conseguir información privada de los usuarios. E, incluso, que lo hizo de buena fe, con la intención de reducir su consumo de datos. Sin embargo, el principal problema es que Nokia no avisó a sus clientes de que desencriptaba sus datos HTTPS hasta que la situación fue denunciada.