Μια ευπάθεια που επιτρέπει σε ένα πιθανό εισβολέα να υποκλέψει την κρυπτογραφημένη επικοινωνία μεταξύ της εφαρμογής του Gmail για συσκευές iOS και το διακομιστή της Google με μια τεχνική man-in-the-middle (MitM) ανακαλύφθηκε από ερευνητές ασφαλείας.
Η ευπάθεια έγκειται στο γεγονός ότι το η εφαρμογή δεν χρησιμοποιεί το νόμιμο πιστοποιητικό που επικυρώνει τη σύνδεση από τον διακομιστή παραλαβής, ένα χαρακτηριστικό που ονομάζεται certificate pinning.
Το pinning στο πιστοποιητικό για το διακομιστή φυσιολογικά θα πρέπει να υπάρχει hard-coded για να επιτρέπει την ανταλλαγή πληροφοριών μόνο όταν συναντήσει μια ταύτιση από την πλευρά του server.
Ghost: Εξάρθρωση της πλατφόρμας κρυπτογραφημένων επικοινωνιών
Η εφαρμογή Gmail για συσκευές iOS δεν έχει αυτό το χαρακτηριστικό, και έτσι οι κυβερνοεγκληματίες θα μπορούσαν να χρησιμοποιήσει ένας κακόβουλο πιστοποιητικό για να μιμηθούν το διακομιστή μέσω των συστημάτων τους, αποκτώντας έτσι πρόσβαση στις πληροφορίες σε μη κρυπτογραφημένη μορφή.
Ερευνητές από την εταιρεία Lacoon mobile security παρουσίασαν ένα σενάριο επίθεσης, το οποίο περιλαμβάνει μια επίθεση man-in-the-middle. Στην επίθεση οι ερευνητές καταφέρνουν να προσθέσουν ένα μη εξουσιοδοτημένο πιστοποιητικό CA.
Έτσι όταν το θύμα τρέχει την εφαρμογή Gmail, όλη η κυκλοφορία της εφαρμογής είναι υπό τον έλεγχο των ερευνητών, παρέχοντάς τους πρόσβαση σε όλη την επικοινωνία σε μορφή απλού κειμένου.
Η Google που συνήθως είναι πολύ ευαίσθητη σε θέματα ασφάλειας στα προϊόντα τους, φαίνεται ότι αυτή τη φορά δεν μπορεί να κάνει και πολλά. Η Lacoon mobile security δήλωσε ότι έχει κοινοποιήσει την ευπάθεια στην Google από τις 24 Φεβρουάριου και μέχρι σήμερα δεν έχει κυκλοφορήσει κάποιο patch.
“Ερευνητική ομάδα Lacoon ενημέρωσε την Google σχετικά με το πρόβλημα αυτό στις 24 Φεβρουαρίου. Η Google αναγνώρισε το ελάττωμα και το επικύρωσε. Μας είπαν ότι επρόκειτο να το διορθώσουν αλλά μέχρι και σήμερα, η ευπάθεια υπάρχει ακόμα “, δήλωσε ο Avi Bashan.
