Gmail-app iOS mist maatregel tegen MitM-aanvallen
Een maatregel die gebruikers van de Gmail-app op Android tegen Man-in-the-Middle (MitM)-aanvallen moet beschermen is niet aanwezig in de iOS-versie, zo hebben onderzoekers ontdekt. Het gaat om een maatregel die 'certificaat pinning' wordt genoemd en valse SSL-certificaten kan herkennen.
SSL-certificaten worden gebruikt voor onder andere het identificeren van websites en webdiensten en het versleutelen van internetverkeer. Het kan voorkomen, zoals met DigiNotar en deze week nog met een Indiase uitgever van SSL-certificaten, dat er valse certificaten worden uitgegeven. Een aanvaller die zich tussen het doelwit en het internet kan plaatsen kan via deze valse certificaten vertrouwelijke informatie onderscheppen.
Een andere aanvalsvector vereist de medewerking van het slachtoffer via social engineering of fysieke toegang tot het toestel. Het gaat in dit geval om de installatie van een configuratieprofiel. Dit profiel bevat ook een Root Certificate Authority (CA). Door een Root CA op het toestel te installeren zorgen valse SSL-certificaten die via deze Root CA zijn gemaakt niet voor een waarschuwing, iets wat normaliter wel het geval is. Daarnaast is de installatie van een configuratieprofiel zeer eenvoudig en zou dit ook bij veel bedrijven verplicht zijn.
Certificaat pinning
Om gebruikers tegen valse certificaten te beschermen werd 'certificaat pinning' bedacht. Hierbij wordt vastgelegd via welke Certificate Authority (CA) het SSL-certificaat van het betreffende domein is uitgegeven. Als bijvoorbeeld een andere CA wordt gehackt en de aanvallers maken hier een vals SSL-certificaat aan, dan kan dit certificaat via certificaat pinning worden herkend, omdat de CA's niet overeenkomen.
De maatregel is bijvoorbeeld aanwezig in Google Chrome en zorgde voor de ontdekking van de valse SSL-certificaten die door DigiNotar waren uitgegeven. Ook de Android-versie van de Gmail-app beschikt over deze beveiligingsmaatregel. Volgens onderzoekers van Lacoon Security gaat het dan ook om een misser van Google.
Het bedrijf waarschuwde Google op 24 februari, waarna Google het probleem bevestigde en een update aankondigde, maar het euvel is nog altijd niet verholpen. Als oplossing krijgen gebruikers het advies om het configuratieprofiel te controleren op root certificaten en een VPN te gebruiken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.