خطر سرقت اطلاعات برای كاربران iOS جی میل
شنبه ۲۱ تير ۱۳۹۳ ساعت ۲۲:۴۰:۵۶
با توجه به یافته های محققان، ممكن است اطلاعات كاربران اپل كه بر روی دستگاه های تلفن همراه خود از سرویس جی میل استفاده می كنند در معرض خطر قرار گیرند.
با توجه به یافته های محققان، ممكن است اطلاعات كاربران اپل كه بر روی دستگاه های تلفن همراه خود از سرویس جی میل استفاده می كنند در معرض خطر قرار گیرند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)،با توجه به یافته های محققان، ممكن است اطلاعات كاربران اپل كه بر روی دستگاه های تلفن همراه خود از سرویس جی میل استفاده می كنند در معرض خطر قرار گیرند.
Avi Bashan، مدیر امنیت اطلاعات از Lacoon Mobile Security گفت: دلیل این مشكل عدم پیاده سازی فناوری امنیتی توسط گوگل است. این فناوری امنیتی مانع مشاهده و تغییر ارتباطات رمزگذاری شده بین كاربر و گوگل توسط مهاجم می شود.وب سایت ها برای رمزگذاری ترافیك داده هایی كه از پروتكل های SSL/TLS استفاده می كنند، از گواهینامه های دیجیتالی استفاده می كنند. اما در برخی موارد این گواهینامه ها می توانند توسط مهاجمان جعل شوند و در نتیجه می توانند ترافیك مورد نظر را مشاهده كرده و آن را رمزگشایی كنند. این تهدید می تواند از طریق گواهینامه "pinning" از بین برود.
برخلاف اندروید، گوگل این كار را برای iOS انجام نداده است و این بدان معناست كه یك مهاجم می تواند حملات MitM را اجرا كند و ارتباطات رمزگذاری شده را بخواند. گوگل این مشكل را تایید كرده است اما هم چنان آن را برطرف نكرده است.
مشخص نیست كه چرا گوگل از گواهینامه “pinning” برای iOS استفاده نكرده است. اما حدود سه سال پیش یك مهندس امنیت گوگل كه بر روی این قبیل مسائل امنیتی كار می كرد سناریویی را مطرح كرد كه مدیریت گواهینامه های دیجیتال بسیار پیجیده است.
Lacoon سناریوی حمله ای را توضیح می دهد كه مهاجم كاربر را به گونه ای فریب می دهد تا یك فایل مدیریت پیكربندی دستگاه iOS كه حاوی یك گواهینامه دیجیتال root مخرب است را نصب نماید. این گواهینامه یك گواهینامه جعلی می باشد كه به كاربر اجازه می دهد تا به سایت جعلی جی میل متصل شود.
Bashan نوشت: ما از این یافته ها تعجب كردیم زیرا گوگل این گواهینامه ها را برای دستگاه های اندروید پیاده سازی كرده است اما این امكان وجود دارد كه عدم پیاده سازی این گواهینامه ها برای iOS یك اشتباه بوده است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)،با توجه به یافته های محققان، ممكن است اطلاعات كاربران اپل كه بر روی دستگاه های تلفن همراه خود از سرویس جی میل استفاده می كنند در معرض خطر قرار گیرند.
Avi Bashan، مدیر امنیت اطلاعات از Lacoon Mobile Security گفت: دلیل این مشكل عدم پیاده سازی فناوری امنیتی توسط گوگل است. این فناوری امنیتی مانع مشاهده و تغییر ارتباطات رمزگذاری شده بین كاربر و گوگل توسط مهاجم می شود.وب سایت ها برای رمزگذاری ترافیك داده هایی كه از پروتكل های SSL/TLS استفاده می كنند، از گواهینامه های دیجیتالی استفاده می كنند. اما در برخی موارد این گواهینامه ها می توانند توسط مهاجمان جعل شوند و در نتیجه می توانند ترافیك مورد نظر را مشاهده كرده و آن را رمزگشایی كنند. این تهدید می تواند از طریق گواهینامه "pinning" از بین برود.
برخلاف اندروید، گوگل این كار را برای iOS انجام نداده است و این بدان معناست كه یك مهاجم می تواند حملات MitM را اجرا كند و ارتباطات رمزگذاری شده را بخواند. گوگل این مشكل را تایید كرده است اما هم چنان آن را برطرف نكرده است.
مشخص نیست كه چرا گوگل از گواهینامه “pinning” برای iOS استفاده نكرده است. اما حدود سه سال پیش یك مهندس امنیت گوگل كه بر روی این قبیل مسائل امنیتی كار می كرد سناریویی را مطرح كرد كه مدیریت گواهینامه های دیجیتال بسیار پیجیده است.
Lacoon سناریوی حمله ای را توضیح می دهد كه مهاجم كاربر را به گونه ای فریب می دهد تا یك فایل مدیریت پیكربندی دستگاه iOS كه حاوی یك گواهینامه دیجیتال root مخرب است را نصب نماید. این گواهینامه یك گواهینامه جعلی می باشد كه به كاربر اجازه می دهد تا به سایت جعلی جی میل متصل شود.
Bashan نوشت: ما از این یافته ها تعجب كردیم زیرا گوگل این گواهینامه ها را برای دستگاه های اندروید پیاده سازی كرده است اما این امكان وجود دارد كه عدم پیاده سازی این گواهینامه ها برای iOS یك اشتباه بوده است.
