iOS向けGmailアプリで通信傍受の恐れ、セキュリティ対策の不備か

Android向けのGmailには実装されているセキュリティ対策が、iOS版のGmailには実装されていないとして、セキュリティ企業がブログで概略を公表した。

[鈴木聖子，ITmedia]

　GoogleがAppleのiOS向けに提供しているGmailアプリには、暗号化された通信の傍受を防ぐための仕組みが実装されておらず、中間者攻撃を仕掛けられて情報を盗まれる恐れがあるとして、セキュリティ企業のLacoon Mobile Securityが7月10日のブログで概略を公表した。

　Lacoonによると、Gmailのようなアプリでは通常、証明書のピン留め（Pinning）という仕組みを使ってアプリ内にサーバ証明書をコーディングし、不正な証明書を見分ける仕組みを実装している。

　ところがiOS向けのGmailには、この証明書のピン留めの仕組みが実装されていないことが分かったという。

　この問題を悪用された場合、攻撃者がユーザーをだまして不正な設定プロファイルをインストールさせる手口でトラフィックを傍受し、偽造証明書を使って暗号化された通信を解読したり、改ざんしたりすることが可能になるという。

　「Android向けのGmailには証明書のピン留めが実装されており、これをiOS版に実装していないのはGoogleの明らかな不手際」とLacoonは指摘する。

脆弱性の悪用イメージ（Lacoon Securityより）

　同社によれば、2月24日にこの問題をGoogleに通報し、Google側でも問題の存在を確認したにもかかわらず、いまだに脆弱性が放置されているという。