Оказывается, у злоумышленников есть простой способ перехвата и кражи личной зашифрованной информации пользователей iOS-приложения Gmail. Для этого достаточно подделать веб-сертификат, после чего можно расшифровывать трафик и красть данные. Как сообщает Zdnet, эту информацию обнародовала занимающаяся мобильной безопасностью фирма Lacoon с целью привлечь к проблеме внимание Google, которая знает о проблеме, но не торопится ее решать.
По словам ведущего специалиста Lacoon Ави Башана, проблема заключается в отсутствии у iOS-клиента Gmail так называемогоSertificate Pinning – распространенной среди iOS-разработчиков меры предосторожности, используемой для защиты данных от установки вредоносных профилей конфигурации.
Обычно применяемые для установки таких параметров, как Wi-Fi, VPN и сертификатов шифрования профили конфигурации могут содержать корневой сертификат (или Центр сертификации), который способен подтверждать подлинность ключей шифрования, то есть фактически создавать поддельные сертификаты.
По данным Lacoon, Google знает об этой дыре в безопасности iOS-приложения Gmail24 с февраля, (поскольку совсем недавно ликвидировала аналогичную брешь в безопасности клиента для Android), но никаких мер для ее устранения не предпринимает.
