شماره: IRCNE2014072251
تاريخ: 21/04/93
با توجه به يافته هاي محققان، ممكن است اطلاعات كاربران اپل كه بر روي دستگاه هاي تلفن همراه خود از سرويس جي ميل استفاده مي كنند در معرض خطر قرار گيرند.
Avi Bashan، مدير امنيت اطلاعات از Lacoon Mobile Security گفت: دليل اين مشكل عدم پياده سازي فناوري امنيتي توسط گوگل است. اين فناوري امنيتي مانع مشاهده و تغيير ارتباطات رمزگذاري شده بين كاربر و گوگل توسط مهاجم مي شود.
وب سايت ها براي رمزگذاري ترافيك داده هايي كه از پروتكل هاي SSL/TLS استفاده مي كنند، از گواهينامه هاي ديجيتالي استفاده مي كنند. اما در برخي موارد اين گواهينامه ها مي توانند توسط مهاجمان جعل شوند و در نتيجه مي توانند ترافيك مورد نظر را مشاهده كرده و آن را رمزگشايي كنند. اين تهديد مي تواند از طريق گواهينامه "pinning" از بين برود.
برخلاف اندرويد، گوگل اين كار را براي iOS انجام نداده است و اين بدان معناست كه يك مهاجم مي تواند حملات MitM را اجرا كند و ارتباطات رمزگذاري شده را بخواند. گوگل اين مشكل را تاييد كرده است اما هم چنان آن را برطرف نكرده است.
مشخص نيست كه چرا گوگل از گواهينامه “pinning” براي iOS استفاده نكرده است. اما حدود سه سال پيش يك مهندس امنيت گوگل كه بر روي اين قبيل مسائل امنيتي كار مي كرد سناريويي را مطرح كرد كه مديريت گواهينامه هاي ديجيتال بسيار پيجيده است.
Lacoon سناريوي حمله اي را توضيح مي دهد كه مهاجم كاربر را به گونه اي فريب مي دهد تا يك فايل مديريت پيكربندي دستگاه iOS كه حاوي يك گواهينامه ديجيتال root مخرب است را نصب نمايد. اين گواهينامه يك گواهينامه جعلي مي باشد كه به كاربر اجازه مي دهد تا به سايت جعلي جي ميل متصل شود.
Bashan نوشت: ما از اين يافته ها تعجب كرديم زيرا گوگل اين گواهينامه ها را براي دستگاه هاي اندرويد پياده سازي كرده است اما اين امكان وجود دارد كه عدم پياده سازي اين گواهينامه ها براي iOS يك اشتباه بوده است.
- 2