14 jul. 2014

Vulnerabilidad de Certificate Pinning en GMail de iOS

Se ha reportado que Google no verifica adecuadamente los certificados digitales en su aplicación de Gmail para iOS y esto permite millones de usuarios puedan ser víctimas de ataques Man-in-the-Middle (MitM) .

El investigador Avi Basán de Lacoon Mobile Security ha descubierto que la aplicación GMail de iOS no realiza adecuadamente el Certificate Pinning al establecer una conexión confiable entre las aplicaciones móviles y servicios web de back-end. Esto significa que un atacante pueden ver en texto plano los correos electrónicos y robar las credenciales del usuario a través de ataques MitM.

¿Qué es Certificate Pinning?

Certificate Pinning no es un método, sino un concepto que cada uno interpreta a su manera.
Certificate Pinning es un proceso diseñado para evitar que el usuario de una aplicación pueda ser víctima de un ataque de suplantación de identidad del certificado SSL. Certificate Pinning permite conexiones SSL sólo a sitios firmados con certificados almacenados dentro de la aplicación y rechaza automáticamente cualquier otra conexión. Esto asegura la protección contra certificados emitidos de manera fraudulenta.

Por ejemplo, si se accede a Google.com desde el navegador, se confía en el certificado si está firmado por Verisign, Digicert o cualquier otra autoridad certificadora de confianza, pero si conecta a un servidor de Google vía una aplicación móvil, sólo se confía en los certificados firmados por Google.

La vulnerabilidad

La compañía Lacoon dijo que informó de la vulnerabilidad a Google a finales de febrero. Google validó el problema y dijo que lo habían solucionado pero, según Lacoon, la vulnerabilidad todavía es explotable en la aplicación de Gmail de iOS.

Para que el ataque MitM sea exitoso, es importante que un atacante logre modificar el perfil de configuración del dispositivo iOS, y esto podría hacerse engañando a los usuarios para que descarguen dicha configuración.

Cristian de la Redacción de Segu-Info

1 comentario:

  1. siguen los problemas con gmail, pero es difícil tener un sistema 100% seguro, igual es bueno que solucionen estos problemas, saludos ben sitio

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!