iPhoneGmailアプリ通信傍受
iPhoneのGmailアプリで通信傍受が可能だと報じられている。アンドロイドのGmailアプリは大丈夫とのこと。どのような仕組みなのかの説明をみてみよう。

iOS向けGmailアプリで通信傍受の恐れ、セキュリティ対策の不備か - ITmedia エンタープライズ

『 GoogleがAppleのiOS向けに提供しているGmailアプリには、暗号化された通信の傍受を防ぐための仕組みが実装されておらず、中間者攻撃を仕掛けられて情報を盗まれる恐れがあるとして、セキュリティ企業のLacoon Mobile Securityが7月10日のブログで概略を公表した。

 Lacoonによると、Gmailのようなアプリでは通常、証明書のピン留め(Pinning)という仕組みを使ってアプリ内にサーバ証明書をコーディングし、不正な証明書を見分ける仕組みを実装している。

 ところがiOS向けのGmailには、この証明書のピン留めの仕組みが実装されていないことが分かったという。

 この問題を悪用された場合、攻撃者がユーザーをだまして不正な設定プロファイルをインストールさせる手口でトラフィックを傍受し、偽造証明書を使って暗号化された通信を解読したり、改ざんしたりすることが可能になるという。

 「Android向けのGmailには証明書のピン留めが実装されており、これをiOS版に実装していないのはGoogleの明らかな不手際」とLacoonは指摘する。』

証明書のピン止め(Pinning)が実装されていないことが原因のようだ。

先日、iPhoneは電源を切っても遠隔操作で起動させ、通信傍受可能だとスノーデンが告発したばかり。

もはや何を聞いても動じないようになってしまった。