Biztonsági rés fenyegeti az iOS-es Gmailt
Sebezhetőség tátong az iOS-es Gmail alkalmazásban. A biztonsági rést kihasználva támadók man-in-the-middle támadással olvashatják el vagy akár módosíthatják is a felhasználók levelezését. A hiba az app androidos párjában nem található meg.
Váratlan sebezhetőségre bukkantak az iOS-es Gmail alkalmazásban a Lacoon Mobile Security biztonsági szakértői. A hibát kihasználva támadók közbeékelődéses, más néven man-in-the-middle támadással tekinthetik meg vagy akár módosíthatják is a kódolt kommunikációt. A biztonságos levélváltás általában SSL titkosítással történik, amelynél a back-end szerver egy tanúsítvánnyal igazolja, hogy nem illetéktelenek próbálnak hozzáférni az adott tartalomhoz, így oldva fel a titkosítást. A man-in-the-middle módszernél a támadók hamis tanúsítvánnyal hitetik el az érintettekkel, hogy van jogosultságuk a kódolt tartalmakhoz, amelyeket aztán nemcsak láthatnak, de módosíthatnak is, legyen szó jelszavakról, online csevegésekről vagy emailváltásról.
Az Apple mobil operációs rendszere alatt ezt egy egyedi konfigurációs profil telepítésével lehet elérni - ez egy rendkívül fontos iOS fájl, amely az olyan paraméterek meghatározásáért felelős, mint például a szolgáltató és a hálózat beállításai, továbbá itt található a CA (Certificate Authority, azaz tanúsítványkiállító) is. A támadók ez utóbbi segítségével hozhatnak létre hamis tanúsítványokat, amelyekkel egyébként hiteles szolgáltatásoknak - ebben az esetben a Google emailszolgáltatásának - adhatják ki magukat.
Egy hasonló konfigurációs profil telepítéséhez ráadásul nincs szükség túl nagy szakértelemre, sőt azt néhány vállalat meg is követeli. Ennek a veszélyforrásnak a befoltozására jött létre az úgynevezett tanúsítvány "pinning". Itt a fejlesztők az alkalmazásba "drótozzák" az adott tanúsítványt, így amennyiben a kommunikáció a támadó szervereire felé folytatódna, az adott app könnyedén kiszúrhatja a különbséget a benne kódolt és a hamis back-end szerver igazolása között.
Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.
Az iOS-es Gmail hibája pontosan ebben rejlik, az app ugyanis nem végez pinninget, így hamis tanúsítvány segítségével könnyedén egy közbeékelődéses támadás áldozatává válhat - a felhasználó ebben az esetben semmilyen értesítést nem kap a gyanús tevékenységről. A biztonsági rés jelenléte azért különösen furcsa, mert az alkalmazás androidos párjában a funkció megtalálható - valószínűleg csak puszta fejlesztői figyelmetlenségről lehet szó.
Egy hasonló támadáshoz a támadónak nincs másra szüksége, mint rávenni az áldozatot, hogy telepítse a módosított CA-t tartalmazó konfigurációs profilt. Ezt követően a felhasználó adatforgalma már a támadók szerverére fut be, amelynek hamis tanúsítványait az installált CA legitimként azonosítja. Ezután már csak a hackereken múlik, mit kezdenek az elcsípett adatokkal. A Lacoon Mobile Security idén februárban értesítette a Google-t a hibáról, a vállalat pedig azt ígérte, rövidesen kijavítja azt - a sebezhetőség azonban a mai napig jelen van a szoftverben.