Владельцы iOS-устройств, пользующиеся клиентом Gmail, подвержены риску перехвата данных. По утверждениям ИБ-эксперта Ави Башана (Avi Bashan) из Lacoon Mobile Security, проблема существует из-за нереализованной технологии «Certificate Pinning» для блокировки атак с поддельными web-сертификатами и обхода web-шифрования.
Интернет-сайты используют цифровые сертификаты для шифрования трафика при помощи протоколов SSL/TLS. Однако в некоторых случаях злоумышленники могут подделать сертификат, благодаря чему у них появляется возможность отслеживать и расшифровывать трафик.
Для перехвата данных, передаваемых между пользователем и сервером, необходимо осуществить атаку типа человек-по-середине. Это позволит отследить зашифрованную информацию.
По утверждениям Башана, Google знает о существовании проблемы еще с 24 февраля 2014 года. Тем не менее, поисковый гигант все еще не выпустил обновление, исправляющее брешь. Кроме того, пока компания не комментирует сложившуюся ситуацию.
Не совсем понятно, почему Google до сих пор не реализует технологию «Certificate Pinning» в клиенте Gmail для iOS. Однако еще несколько лет назад ИБ-эксперт Адам Лэнгли (Adam Langley), работающий с уязвимостями, рассказал, почему с цифровыми сертификатами будет сложно работать.
Рано или поздно прокси-серверы, используемые компаниями, начнут перехватывать HTTPS-соединения при помощи локальных, кратковременных сертификатов, отметил тогда специалист техногиганта. Подобный функционал будет присутствовать и в программах родительского контролях и прочем ПО, добавил он.
Источник: SecurityLab
|