TOPセキュリティ > 「iOS版Gmailアプリに脆弱性」、Googleは否定

セキュリティ

「iOS版Gmailアプリに脆弱性」、Googleは否定

2014/07/15

Antone Gonsalves CSO

 米セキュリティ企業Lacoon Mobile Securityは現地時間2014年7月10日、米GoogleのiOS版Gmailアプリで脆弱性を発見したと公式ブログで発表した。同アプリが実装していないセキュリティ手法があるため、同アプリの通信データを中間者攻撃で傍受される恐れがあるというものだ。だが、Googleはこの見解を否定している。

 Lacoonが指摘したのは、iOS版のGmailアプリが証明書の「pinning(ピン留め)」という手法を実装していないという点だ。ピン留めとは、正当な電子証明書の詳細情報をアプリ自体にハードコーディングしておくという手法である。

 モバイルアプリは、開発元のサーバーとのデータトラフィックを暗号化する時に証明書を使用する。一般に、こうした通信はSSL/TLSプロトコルで行う。

 だが、攻撃者が証明書の偽装に成功した場合、トラフィックの復号化が可能となる。中間者攻撃と呼ばれる攻撃だ。証明書のピン留めは、こうした脅威を排除するための手法である。

 Googleは現地時間2014年7月11日、ピン留めを実装していないことがGmailのセキュリティリスクになるとの見解を否定した。

↑ページ先頭へ