Lacoon移動安全公司在7月10日的博文中發(fā)布消息稱,在谷歌為蘋果IOS用戶提供的Gmail應(yīng)用中,未安裝防御通過暗號竊聽信息傳遞的措施,這有可能給中間攻擊者以可乘之機,使得相關(guān)信息被盜取。
Lacoon表示,像Gmail這樣的應(yīng)用一般會有一種叫做Pinning的程序,將應(yīng)用內(nèi)服務(wù)器證明書編碼,以區(qū)分不正當(dāng)書證明并進行實際安裝。
然而IOS用戶的Gmail應(yīng)用中,并未安裝Pinning。這就導(dǎo)致了惡意使用的可能性。攻擊者會以欺騙用戶安裝危險文件的方式進行信息竊取或監(jiān)聽,使用偽造證明書并以暗號的形式進行解讀,甚至是篡改相關(guān)數(shù)據(jù)。
Lacoon公司指出,Gamil的安卓版安裝裝有Pinning而IOS版卻沒有,這是谷歌非常明顯的失誤。2月24日該公司已經(jīng)向谷歌通報過此問題,然而谷歌卻并未確認(rèn)該問題是否存在,導(dǎo)致遺該問題留至今仍未解決。
京公網(wǎng)安備 11010502049343號