image

Gmail-app iOS mist maatregel tegen MitM-aanvallen

vrijdag 11 juli 2014, 16:13 door Redactie, 0 reacties

Een maatregel die gebruikers van de Gmail-app op Android tegen Man-in-the-Middle (MitM)-aanvallen moet beschermen is niet aanwezig in de iOS-versie, zo hebben onderzoekers ontdekt. Het gaat om een maatregel die 'certificaat pinning' wordt genoemd en valse SSL-certificaten kan herkennen.

SSL-certificaten worden gebruikt voor onder andere het identificeren van websites en webdiensten en het versleutelen van internetverkeer. Het kan voorkomen, zoals met DigiNotar en deze week nog met een Indiase uitgever van SSL-certificaten, dat er valse certificaten worden uitgegeven. Een aanvaller die zich tussen het doelwit en het internet kan plaatsen kan via deze valse certificaten vertrouwelijke informatie onderscheppen.

Een andere aanvalsvector vereist de medewerking van het slachtoffer via social engineering of fysieke toegang tot het toestel. Het gaat in dit geval om de installatie van een configuratieprofiel. Dit profiel bevat ook een Root Certificate Authority (CA). Door een Root CA op het toestel te installeren zorgen valse SSL-certificaten die via deze Root CA zijn gemaakt niet voor een waarschuwing, iets wat normaliter wel het geval is. Daarnaast is de installatie van een configuratieprofiel zeer eenvoudig en zou dit ook bij veel bedrijven verplicht zijn.

Certificaat pinning

Om gebruikers tegen valse certificaten te beschermen werd 'certificaat pinning' bedacht. Hierbij wordt vastgelegd via welke Certificate Authority (CA) het SSL-certificaat van het betreffende domein is uitgegeven. Als bijvoorbeeld een andere CA wordt gehackt en de aanvallers maken hier een vals SSL-certificaat aan, dan kan dit certificaat via certificaat pinning worden herkend, omdat de CA's niet overeenkomen.

De maatregel is bijvoorbeeld aanwezig in Google Chrome en zorgde voor de ontdekking van de valse SSL-certificaten die door DigiNotar waren uitgegeven. Ook de Android-versie van de Gmail-app beschikt over deze beveiligingsmaatregel. Volgens onderzoekers van Lacoon Security gaat het dan ook om een misser van Google.

Het bedrijf waarschuwde Google op 24 februari, waarna Google het probleem bevestigde en een update aankondigde, maar het euvel is nog altijd niet verholpen. Als oplossing krijgen gebruikers het advies om het configuratieprofiel te controleren op root certificaten en een VPN te gebruiken.

Image

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.