Lacoon Security phát hiện Google vẫn chưa đưa ra một công nghệ bảo mật nào để hạn chế dữ liệu bị mất cắp.
Theo công ty bảo mật di động
Lacoon Security (trụ sở tại Mỹ và Israel) vào hôm thứ 5 vừa qua, người dùng
Apple truy cập
Gmail trên các thiết bị di động có thể gặp rủi ro mất cắp dữ liệu.
Lý do là Google vẫn chưa thiết lập một công nghệ bảo mật nào để ngăn kẻ tấn công xem và sửa đổi các dữ liệu mã hoá giữa Apple và Google. Các trang web sử dụng chứng thực số để mã hoá luồng dữ liệu, sử dụng giao thức
SSL/TLS (Secure Sockets Layer/Transport Layer Security). Nhưng trong vài trường hợp, những chứng thực này có thể bị kẻ tấn công qua mặt, cho phép chúng quan sát và giải mã được luồng dữ liệu vào ra đó. Nguy cơ này có thể loại bỏ được bằng kỹ thuật chứng thực ghim (pinning), nghĩa là viết mã thẳng vào chứng thực số hợp pháp ngay trong ứng dụng.
Không như Android, Google không làm điều này trên iOS, có nghĩa là kẻ tấn công có thể chạy một chương trình theo dõi man-in-the-middle và đọc các dữ liệu mã hoá. Google nhận ra vấn đề này sau khi được Lacoon cảnh báo hồi ngày 24/2 đầu năm nay nhưng lỗi vẫn chưa được sửa. Google hiện tại không đưa ra nhận xét gì.
Vẫn chưa rõ tại sao kỹ thuật pinning chứng thực không được Google sử dụng trên iOS. Nhưng cách nay 3 năm, một kỹ sư bảo mật của Google làm việc với các vấn đề như vậy mô tả một trường hợp xử lý các chứng thực số trở nên rất phức tạp.
Theo một chuyên gia, thông thường máy chủ proxy mà các công ty sử dụng sẽ can thiệp vào kết nối HTTPS, sử dụng các chứng thực nội tại nên xác thực rất nhanh. Vài ứng dụng bảo mật và các chương trình quản lý máy tính dành cho cha mẹ cũng sẽ sử dụng cách chứng thực giống vậy. Những chứng thực này phải có quyền tạo ghim (pinning) để kiểm tra một chứng thực cụ thể nào đó.
Lacoon mô tả một trường hợp tấn công có thể lừa người dùng cài đặt một file cấu hình quản lý thiết bị iOS có chứa một chứng thực số nhưng là mã độc. Và hệ thống sẽ chấp nhận chứng thực “dỏm” này, cho kẻ tấn công có thể thâm nhập vào trang Gmail của người dùng.