El especialista en seguridad móvil, Lacoon, ha publicado los detalles de una nueva vulnerabilidad de la aplicación de Gmail para iOS que pueden permitir a los piratas informáticos ver ó modificar las comunicaciones cifradas. Permite a los atacantes utilizar la técnica Man in the Middle (MitM) para hacerse pasar por un servidor legítimo con un certificado SSL falso.
Este tipo de amenaza se evita generalmente usando el posicionamiento de certificados en el código de la aplicación.Esto significa que si es redirigido comunicación la aplicación móvil reconocerá la inconsistencia entre el certificado del servidor back-end como codificado dentro de la aplicación, y el certificado devuelto por el servidor falso. Lacoon ha encontrado que la aplicación de Gmail para iOS no realiza el bloqueo de certificado.
Como resultado de un ataque MitM podría abrir las comunicaciones encriptadas y el usuario vería indicios de actividades sospechosas. Android implementa en su aplicación de Gmail un certificado fijo, aunque esto se podría tomar como un descuido. Sin embargo, a pesar de que a Google se le informó de la vulnerabilidad a finales de febrero y hasta el día de hoy sigue presente dicha vulnerabilidad.
Michael Shaulov, CEO y co-fundador de Lacoon Mobile Security dice: «Varios meses después de proporcionar una fuente responsable, Google no ha proporcionado la información relativa a la solución de la vulnerabilidad y que todavía sigue siendo un bug que puede ser usado. Esta vulnerabilidad deja a los usuarios de iPhone y iPad en riesgo, permitiendo a alguien que pueda ser capaz de ver y modificar las comunicaciones cifradas a través de un ataque Man-in-the-middle «.
Hasta que se anuncie una solución, se aconseja a las empresas comprobar los perfiles de configuración de dispositivos para asegurarse de que no incluyen los certificados de seguridad en la misma aplicación, asegúrese de usar un canal seguro como una VPN para acceder a los recursos corporativos, el análisis del dispositivo para detectar ataques MitM. Puede conocer mas sobre esta vulnerabilidad en el siguiente articulo que ha posteado Lacoon.
You might also like
More from Seguridad
Cómo Recuperar tu Negocio Digital con un DRP Seguro
Cómo Recuperar tu Negocio Digital con un DRP Seguro. ¿Alguna vez has sentido que tu negocio está a punto de …
Plan de Recuperación de Desastres: Evita el Drama Ya
Veamos un poco del Plan de Recuperación de desastres. ¿Has sentido alguna vez el terror de ver tu sitio web …
DRaaS para Dummies: ¿Qué significa esta sopa de letras y cómo te puede salvar?
¿Qué harías si todo tu mundo digital desapareciera de un momento a otro?Imagínalo: un día estás haciendo tus tareas, jugando …