משתמשי Gmail על iOS בסיכון של יירוט נתונים

חברת האבטחה Lacoon Security מצאה שגוגל עדיין לא מיושמת טכנולוגיית אבטחה שיכולה למנוע אובדן נתונים ,
משתמשי אפל בגישה אל Gmail במכשירים ניידים עלולים להיות בסיכון שנתונים ייורטו, חברת אבטחת המידע הסלולרית אמרה ביום חמישי.
חברת האבטחה Lacoon Security מצאה שגוגל עדיין לא מיושמת טכנולוגיית אבטחה שיכולה למנוע אובדן נתונים ,
משתמשי אפל בגישה אל Gmail במכשירים ניידים עלולים להיות בסיכון שנתונים ייורטו, חברת אבטחת המידע הסלולרית אמרה ביום חמישי.
הסיבה שגוגל עדיין לא מיושמת טכנולוגיית אבטחה שתמנע תוקפים מצפייה ושינוי תקשורת מוצפנת עם ענקית האינטרנט, כתב אבי בשן, קצין ביטחון מידע ראשי לLacoon Mobile Security, הפועל בישראל ובארה"ב הינה ש-
אתרי אינטרנט שמשתמשים באישורים דיגיטליים כדי להצפין את תעבורת הנתונים באמצעות SSL / TLS (אבטחת שכבת שכבה / תחבורה-Secure Sockets) פרוטוקולים. אבל במקרים מסוימים, ניתן ויש יכולות לזייף תעודות אלו על ידי האקרים, מה שמאפשר להם להתבונן ולפענח את התנועה.
איום זה ניתן למניע באמצעות תעודה "צמודה", הכוללת קידוד קשה של כול הפרטים לאישור הדיגיטלי הלגיטימי ליישום.
בניגוד לאנדרואיד, גוגל לא עושה זאת עבור iOS, מה שאומר שתוקף יכול לבצע מה שמכונה התקפת man-in-the-middle ולקרוא תקשורת מוצפנת, בשן, כתב. גוגל הודתה בבעיה, לאחר שיודעה על ידי Lacoon Security ביום 24 בפברואר, אבל הבעיה לא תוקנה, הוא הכתב.
כמו כן לא ברור מדוע מצמיד התעודה אינו בשימוש על ידי גוגל על iOS. אבל לפני שלוש שנים, מהנדס אבטחת גוגל שעובד על בעיות אבטחה כגון זו תאר תרחיש שבו הטיפול באישורים דיגיטליים הופך להיות מסובך יותר ויותר.
לפעמים, על שרתי פרוקסי בשימוש על ידי חברות יהיה ליירט חיבורי HTTPS באמצעות תעודות מקומיות, קיקיוניות, כתבו אדם לנגלי בבלוג האישי שלו. יישומי אבטחה מסוימים ותוכניות בקרת הורים גם יעשו את זה, הוא הכתב.

Lacoon Security תארו תרחיש של התקפה שמערבת הטעיית משתמשים להתקנת קובץ תצורת ניהול במכשיר iOS המכיל תעודה דיגיטלית זדונית. על קובץ זה יהיה לאמת את תעודה מזויפת, מה שיאפשר להאקר לנווט לאתר Gmail.
"היינו די מופתעים מממצא זה משום שגוגל יישמה תעודה מצמידה לאפליקציה לאנדרואיד ב-Gmail שלהם", כתב בשן. "ברור, שלא ליישם את זה עבור iOS היה חוסר תשומת לב מצד גוגל".
  מאמר מקור:
http://www.itworld.com/security/426664/gmail-users-ios-risk-data-interception

דילוג לתוכן