Брешь в Gmail для iOS

Для перехвата данных, передаваемых между сервером и пользователем, нужно осуществить атаку типа человек-по-середине. Обладатели iOS-устройств, пользующиеся клиентом Gmail, подвержены риску перехвата данных. Согласно заявлениям ИБ-специалиста Ави Башана (Avi Bashan) из Lacoon Mobile Security, неприятность существует из-за нереализованной технологии «Certificate Pinning» для блокировки атак с поддельными web-сертификатами и обхода web-шифрования. Сайты применяют цифровые сертификаты для шифрования трафика при помощи протоколов SSL/TLS. Но в некоторых случаях преступники могут подделать сертификат, благодаря чему у них появляется возможность отслеживать и расшифровывать трафик. Для перехвата данных, передаваемых между сервером и пользователем, нужно осуществить атаку типа человек-по-середине. Это разрешит отследить зашифрованную данные.

Согласно заявлениям Башана, Гугл знает о существовании неприятности еще с 24 февраля 2014 года. Однако, поисковый гигант все еще не выпустил обновление, исправляющее брешь. Помимо этого, пока компания не комментирует ситуацию .

Не совсем ясно, по какой причине Гугл до сих пор не реализует разработку «Certificate Pinning» в клиенте Gmail для iOS. Но еще недавно ИБ-специалист Адам Лэнгли (Adam Langley), трудящийся с уязвимостями, поведал, по какой причине с цифровыми сертификатами будет сложно трудиться.

Непременно прокси-серверы, применяемые компаниями, начнут перехватывать HTTPS-соединения при помощи локальных, краткосрочных сертификатов, отметил тогда эксперт техногиганта. Подобный функционал будет находиться и в программах родительского контролях и другом ПО, сказал он.