Ευπάθεια Zero day της εφαρμογής Gmail για iOS

Μια ευπάθεια που επιτρέπει σε ένα πιθανό εισβολέα να υποκλέψει την κρυπτογραφημένη επικοινωνία μεταξύ της εφαρμογής του για συσκευές iOS και το διακομιστή της με μια τεχνική (MitM) ανακαλύφθηκε από ερευνητές .

Η ευπάθεια έγκειται στο γεγονός ότι το η εφαρμογή δεν χρησιμοποιεί το νόμιμο πιστοποιητικό που επικυρώνει τη σύνδεση από τον διακομιστή παραλαβής, ένα χαρακτηριστικό που ονομάζεται certificate .

Το pinning στο πιστοποιητικό για το διακομιστή φυσιολογικά θα πρέπει να υπάρχει hard-coded για να επιτρέπει την ανταλλαγή πληροφοριών μόνο όταν συναντήσει μια ταύτιση από την πλευρά του server.

Gmail

Η εφαρμογή Gmail για συσκευές iOS δεν έχει αυτό το χαρακτηριστικό, και έτσι οι κυβερνοεγκληματίες θα μπορούσαν να χρησιμοποιήσει ένας κακόβουλο πιστοποιητικό για να μιμηθούν το διακομιστή μέσω των συστημάτων τους, αποκτώντας έτσι πρόσβαση στις πληροφορίες σε μη κρυπτογραφημένη μορφή.

Ερευνητές από την εταιρεία Lacoon mobile security παρουσίασαν ένα σενάριο επίθεσης, το οποίο περιλαμβάνει μια επίθεση man-in-the-middle. Στην επίθεση οι ερευνητές καταφέρνουν να προσθέσουν ένα μη εξουσιοδοτημένο πιστοποιητικό CA.

  Ετοιμάζεται ανεπίσημο App Store για εφαρμογές jailbreaked Windows RT tablets

Έτσι όταν το θύμα τρέχει την εφαρμογή Gmail, όλη η κυκλοφορία της εφαρμογής είναι υπό τον έλεγχο των ερευνητών, παρέχοντάς τους πρόσβαση σε όλη την επικοινωνία σε μορφή απλού κειμένου.

Η Google που συνήθως είναι πολύ ευαίσθητη σε θέματα ασφάλειας στα προϊόντα τους, φαίνεται ότι αυτή τη φορά δεν μπορεί να κάνει και πολλά. Η Lacoon mobile δήλωσε ότι έχει κοινοποιήσει την ευπάθεια στην Google από τις 24 Φεβρουάριου και μέχρι σήμερα δεν έχει κυκλοφορήσει κάποιο .
“Ερευνητική ομάδα Lacoon ενημέρωσε την Google σχετικά με το πρόβλημα αυτό στις 24 Φεβρουαρίου. Η Google αναγνώρισε το ελάττωμα και το επικύρωσε. Μας είπαν ότι επρόκειτο να το διορθώσουν αλλά μέχρι και σήμερα, η ευπάθεια υπάρχει ακόμα “, δήλωσε ο Avi Bashan.

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


  +  19  =  26