Vulnerabilidad De La Aplicación De Gmail Para iOS Pone En Riesgo Los Datos De Los Usuarios

El especialista en seguridad móvil, Lacoon, ha publicado los detalles de una nueva vulnerabilidad de la aplicación de Gmail para iOS que pueden permitir a los piratas informáticos  ver ó modificar las comunicaciones cifradas. Permite a los atacantes utilizar la técnica Man in the Middle (MitM) para hacerse pasar por un servidor legítimo con un certificado SSL falso.

vulnerabilidad aplicacion gmailEste tipo de amenaza se evita generalmente usando el posicionamiento de certificados en el código de la aplicación.Esto significa que si es redirigido comunicación la aplicación móvil reconocerá la inconsistencia entre el certificado del servidor back-end como codificado dentro de la aplicación, y el certificado devuelto por el servidor falso. Lacoon ha encontrado que la aplicación de Gmail para iOS no realiza el bloqueo de certificado.

Como resultado de un ataque MitM podría abrir las comunicaciones encriptadas y el usuario vería indicios de actividades sospechosas. Android implementa en su aplicación de Gmail un certificado fijo, aunque esto se podría tomar como un descuido. Sin embargo, a pesar de que a Google se le informó de la vulnerabilidad a finales de febrero y hasta el día de hoy sigue presente dicha vulnerabilidad.

atacar cuentas gmailMichael Shaulov, CEO y co-fundador de Lacoon Mobile Security dice: «Varios meses después de proporcionar una fuente responsable, Google no ha proporcionado la información relativa a la solución de la vulnerabilidad y que todavía sigue siendo un bug que puede ser usado. Esta vulnerabilidad deja a los usuarios de iPhone y iPad en riesgo, permitiendo a alguien que pueda ser capaz de ver y modificar las comunicaciones cifradas a través de un ataque Man-in-the-middle «.

Hasta que se anuncie una solución, se aconseja a las empresas comprobar los perfiles de configuración de dispositivos para asegurarse de que no incluyen los certificados de seguridad en la misma aplicación, asegúrese de usar un canal seguro como una VPN para acceder a los recursos corporativos, el análisis del dispositivo para detectar ataques MitM. Puede conocer mas sobre esta vulnerabilidad en el siguiente articulo que ha posteado Lacoon.