Злоумышленники способны перехватывать данные через Gmail для iOS


GoogleНезависимый эксперт по информационной безопасности выявил, что те владельцы iOS-устройств, которые пользуются клиентом Gmail, подвержены риску перехвата данных. По его утверждению, проблема существует из-за нереализованной технологии "Certificate Pinning" для блокировки атак с поддельными web-сертификатами и обхода web-шифрования.

Напомним, что цифровые сертификаты используются веб-ресурсами для шифрования трафика при помощи протоколов SSL/TLS. Однако злоумышленники могут подделать эти сертификаты, после чего у них появится возможность отслеживать и расшифровывать трафик.

В дальнейшем, чтобы перехватить данные, передаваемые между пользователем и сервером, достаточно осуществить MITM-атаку (Man in the middle) - атака человек посередине. Это позволит отследить зашифрованную информацию.

В Google знают о существовании проблемы еще с 24 февраля 2014 года. Тем не менее, обновление, исправляющее данную уязвимость, до сих пор еще не выпущено. К тому же, в компании никак не комментирует сложившуюся ситуацию.

Многим специалистам не понятно, почему технологический гигант до сих пор еще не реализовал технологию "Certificate Pinning" в клиенте Gmail для iOS. Однако несколько лет назад один из экспертов Google предупредил, что с цифровыми сертификатами будет сложно работать.

Он тогда утверждал, что скоро прокси-серверы, используемые компаниями, смогут перехватывать HTTPS-соединения при помощи локальных, кратковременных сертификатов. К тому же подобный функционал будет присутствовать и в программах родительского контролях и прочем ПО.


Обновлено (11.07.2014 21:13)