Lacoon移动安全公司在7月10日的博文中发布消息称,在谷歌为苹果IOS用户提供的Gmail应用中,未安装防御通过暗号窃听信息传递的措施,这有可能给中间攻击者以可乘之机,使得相关信息被盗取。
Lacoon表示,像Gmail这样的应用一般会有一种叫做Pinning的程序,将应用内服务器证明书编码,以区分不正当书证明并进行实际安装。
然而IOS用户的Gmail应用中,并未安装Pinning。这就导致了恶意使用的可能性。攻击者会以欺骗用户安装危险文件的方式进行信息窃取或监听,使用伪造证明书并以暗号的形式进行解读,甚至是篡改相关数据。
Lacoon公司指出,Gamil的安卓版安装装有Pinning而IOS版却没有,这是谷歌非常明显的失误。2月24日该公司已经向谷歌通报过此问题,然而谷歌却并未确认该问题是否存在,导致遗该问题留至今仍未解决。
京公网安备 11010502049343号