TOP > セキュリティ > 「iOS版Gmailアプリに脆弱性」、Googleは否定
関連カテゴリー: アプリ/OS
「iOS版Gmailアプリに脆弱性」、Googleは否定
2014/07/15
米セキュリティ企業Lacoon Mobile Securityは現地時間2014年7月10日、米GoogleのiOS版Gmailアプリで脆弱性を発見したと公式ブログで発表した。同アプリが実装していないセキュリティ手法があるため、同アプリの通信データを中間者攻撃で傍受される恐れがあるというものだ。だが、Googleはこの見解を否定している。
Lacoonが指摘したのは、iOS版のGmailアプリが証明書の「pinning(ピン留め)」という手法を実装していないという点だ。ピン留めとは、正当な電子証明書の詳細情報をアプリ自体にハードコーディングしておくという手法である。
モバイルアプリは、開発元のサーバーとのデータトラフィックを暗号化する時に証明書を使用する。一般に、こうした通信はSSL/TLSプロトコルで行う。
だが、攻撃者が証明書の偽装に成功した場合、トラフィックの復号化が可能となる。中間者攻撃と呼ばれる攻撃だ。証明書のピン留めは、こうした脅威を排除するための手法である。
Googleは現地時間2014年7月11日、ピン留めを実装していないことがGmailのセキュリティリスクになるとの見解を否定した。
