AppiOS

App Gmail per iOS vulnerabile ad attacchi man in the middle

L’app Gmail per iOS non esegue il pinning del certificato – questo significa che un utente malintenzionato può visualizzare le email in chiaro e rubare le credenziali in un attacco man in the middle (MitM). La scoperta è dei ricercatori di Lacoon, azienda specializzata in mobile security. La società ha informato Google del fatto il 24 febbraio, spiegando che l’attuazione del pinning del certificato attenuerebbe la questione. Il colosso dei motori di ricerca ha convalidato il problema e ha detto che sarebbe stato sistemato, ma il difetto esiste ancora.

“Il pinning del certificato è un metodo in cui l’applicazione definisce in modo esplicito che il certificato a cui server è collegato funziona con esso” ha detto Avi Basan di Lacoon. Ciò significa che un utente malintenzionato che falsifica la comunicazione dal server non può fornire un proprio certificato per l’applicazione che verrà utilizzata per crittografare il canale di comunicazione SSL, ha detto Basan, aggiungendo che l’applicazione Gmail per Android invece esegue il pinning del certificato.

gmail-app-ios-vulnerabile-informatblog

Nella ricerca Lacoon ha evidenziato il difetto come una svista da parte di Google. Come risultato, un attacco MitM può essere eseguito per ottenere il controllo del traffico tra il server di Google e un dispositivo iOS, consentendo a un utente malintenzionato di intercettare le mail e le credenziali utente in testo normale. “L’applicazione iOS è implementata in modo tale da permettere al malintenzionato di modificare il certificato, che viene utilizzato per crittografare il canale di comunicazione ai server di Google, e ottenere un proprio certificato firmato”, ha detto Basan. “Una volta che l’attaccante fornisce il nuovo certificato, si può decifrare il traffico e comprenderlo”.

Per eseguire l’attacco Man in the middle, deve prima essere installato sul dispositivo iOS un profilo di configurazione, spiegando che l’utente malintenzionato potrebbe indurre gli utenti a scaricare il profilo di configurazione con l’invio di email di phishing. “Un profilo di configurazione può essere realizzato per contenere qualsiasi testo che il phisher decide, come la connessione Wi-Fi”, ha detto Basan. “Il profilo di configurazione permette il cambio di configurazioni sensibili del sistema, come proxy, VPN e certificati CA.”

Gli utenti che eseguono iOS possono controllare e vedere se hanno installato un profilo di configurazione andando nelle impostazioni del dispositivo, toccando ‘generale’ e poi ‘profili’ in fondo alla lista. Se l’opzione non è disponibile, i profili di configurazione non sono installati. Google non ha risposto alle richieste di commento.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Le guide più interessanti