Ευπάθεια Zero day της εφαρμογής Gmail για iOS

Μια ευπάθεια που επιτρέπει σε ένα πιθανό εισβολέα να υποκλέψει την κρυπτογραφημένη επικοινωνία μεταξύ της εφαρμογής του Gmail για συσκευές iOS και το διακομιστή της Google με μια τεχνική man-in-the-middle (MitM) ανακαλύφθηκε από ερευνητές ασφαλείας.

Η ευπάθεια έγκειται στο γεγονός ότι το η εφαρμογή δεν χρησιμοποιεί το νόμιμο πιστοποιητικό που επικυρώνει τη σύνδεση από τον διακομιστή παραλαβής, ένα χαρακτηριστικό που ονομάζεται certificate pinning.

Το pinning στο πιστοποιητικό για το διακομιστή φυσιολογικά θα πρέπει να υπάρχει hard-coded για να επιτρέπει την ανταλλαγή πληροφοριών μόνο όταν συναντήσει μια ταύτιση από την πλευρά του server.

Gmail

Η εφαρμογή Gmail για συσκευές iOS δεν έχει αυτό το χαρακτηριστικό, και έτσι οι κυβερνοεγκληματίες θα μπορούσαν να χρησιμοποιήσει ένας κακόβουλο πιστοποιητικό για να μιμηθούν το διακομιστή μέσω των συστημάτων τους, αποκτώντας έτσι πρόσβαση στις πληροφορίες σε μη κρυπτογραφημένη μορφή.

Ερευνητές από την εταιρεία Lacoon mobile security παρουσίασαν ένα σενάριο επίθεσης, το οποίο περιλαμβάνει μια επίθεση man-in-the-middle. Στην επίθεση οι ερευνητές καταφέρνουν να προσθέσουν ένα μη εξουσιοδοτημένο πιστοποιητικό CA.

Έτσι όταν το θύμα τρέχει την εφαρμογή Gmail, όλη η κυκλοφορία της εφαρμογής είναι υπό τον έλεγχο των ερευνητών, παρέχοντάς τους πρόσβαση σε όλη την επικοινωνία σε μορφή απλού κειμένου.

Η Google που συνήθως είναι πολύ ευαίσθητη σε θέματα ασφάλειας στα προϊόντα τους, φαίνεται ότι αυτή τη φορά δεν μπορεί να κάνει και πολλά. Η Lacoon mobile security δήλωσε ότι έχει κοινοποιήσει την ευπάθεια στην Google από τις 24 Φεβρουάριου και μέχρι σήμερα δεν έχει κυκλοφορήσει κάποιο patch.
“Ερευνητική ομάδα Lacoon ενημέρωσε την Google σχετικά με το πρόβλημα αυτό στις 24 Φεβρουαρίου. Η Google αναγνώρισε το ελάττωμα και το επικύρωσε. Μας είπαν ότι επρόκειτο να το διορθώσουν αλλά μέχρι και σήμερα, η ευπάθεια υπάρχει ακόμα “, δήλωσε ο Avi Bashan.

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).