محدث 6:30 مساءً بالتوقيت الشرقي يوم الجمعة مع تعليق من Google.

هل تستخدم تطبيق Gmail على جهاز iPhone أو iPad أو iPod Touch؟ إذن أنت... ربما بخير. على الرغم من التحذيرات من شركة أمان حول طرق التحقق من التطبيق ، فإن تطبيق Gmail iOS لا يحتوي على أي عيوب خطيرة.

إذن ما هو الوضع؟ وجدت شركة لاكون لأمن الأجهزة المحمولة ومقرها سان فرانسيسكو أن تطبيق Gmail لنظام التشغيل iOS لا يمارس "تثبيت الشهادة" لضمان اتصال التطبيق بالفعل بخوادم Google.

لكن لا داعي للذعر حتى الآن: إن تثبيت الشهادة ليس معيارًا صناعيًا ، وعدم وجوده لا يعني أن التطبيق غير آمن.

أكثر: أفضل برنامج مضاد فيروسات أندرويد لعام 2014

يتم تشفير حركة المرور الآمنة على الإنترنت ، على كل من الأنظمة الأساسية للجوال وسطح المكتب ، بين جهاز المستخدم والخادم باستخدام بروتوكول يسمى SSL. للتأكد من اتصال الجهاز بخادم الوجهة الحقيقي (أي خوادم Gmail من Google) وليس محتالًا ، اتصالات SSL اطلب أولاً شهادات رقمية تثبت لـ "العملاء" مثل الكمبيوتر أو الهاتف أن الخوادم هي ما يدعون أنها كذلك.

ولكن كما أشار لاكون في منشور المدونة الخاص به بالأمس (10 يوليو) ، يمكن للمهاجمين الالتفاف حول أمان SSL عن طريق إدخال أنفسهم بين جهاز المستخدم والخادم ، وتقديم الجهاز بشهادة مزورة حتى ينخدع الجهاز بالاعتقاد بأنه يتواصل مع الصحيح الخادم.

تواجه بعض متصفحات الويب وتطبيقات الأجهزة المحمولة هذه الهجمات بطريقة تسمى "تثبيت الشهادة" ، حيث يتم تشفير شهادة الخادم الشرعية داخل برنامج التطبيق. يستخدم تطبيق Gmail لنظام Android تثبيت الشهادة - يحتوي على شهادة خادم Google Gmail مضمنة في الرمز الخاص به - ولكن ، كما اكتشف لاكون ، فإن تطبيق Gmail لنظام التشغيل iOS لا يفعل ذلك.

قد يكون هذا "سهوًا" من جانب Google ، كما قالت لاكون في تدوينة لها ، لكنها ليست ثغرة أمنية كبيرة.

"يُعد [تثبيت الشهادة] رادعًا للهجمات المستهدفة ، ولكنه يتطلب مزيدًا من النفقات العامة للمطورين ويفترض قال Chester Wisniewski ، كبير مستشاري الأمان في صانع برامج مكافحة الفيروسات ، إن النظام البيئي للشهادة بأكمله فاشل سوفوس. "الآن ، مع ذلك ، أنا أول من يعترف بأن نظام الشهادة بأكمله * * * فاشل... لكنها ليست ممارسة قياسية للقيام بتثبيت الشهادة ".

تقول لاكون إنها اتصلت بشركة Google بشأن الرقابة في شباط (فبراير) الماضي ، وتزعم أن "Google قامت بذلك أدركت هذا الخلل وتحققت من صحته. "ومع ذلك ، لم تضف Google حتى الآن شهادة تثبيت إلى Gmail الخاص بها لتطبيق iOS.

لقد تواصلنا مع Google للتعليق ، ولكن في وقت النشر لم نتلق أي رد.

لخص Wisniewski الجدل على النحو التالي: "هل هي نقطة ضعف؟ لا. هل يجب على Google تنفيذ ذلك؟ المحتمل. هل هي أزمة؟ لا."

تحديث: وزن روبرت جراهام من شركة ErrataSec للأمن في أتلانتا أيضًا.

قال جراهام لمرشد توم: "هذا ليس خطيرًا".

تحديث: قال أحد ممثلي Google لـ Tom's Guide: "هذه ليست ثغرة أمنية في تطبيق Gmail". "سيتطلب السيناريو الذي يطرحه لاكون من المستخدم اتخاذ إجراء صريح - على وجه التحديد ، التثبيت المقصود لمرجع تصديق جذري خبيث يمنح المخترق إمكانية الوصول إلى تطبيقه. يتم نقل الرسائل التي ترسلها عبر تطبيق Gmail على iOS بأمان عبر خوادم Google ما لم تكن قد أعدت تكوين جهازك عن قصد ".

البريد الإلكتروني [email protected] أو اتبعها تضمين التغريدة و + Google. تابعنا تضمين التغريدة، على موقع التواصل الاجتماعي الفيسبوك و على + Google.

  • أفضل الهواتف الذكية في السوق الآن
  • Blackphone مقابل هاتف الخصوصية FreedomPop
  • 12 تطبيقًا للخصوصية والأمان للجوال

احصل على وصول فوري إلى الأخبار العاجلة وأحدث المراجعات والصفقات الرائعة والنصائح المفيدة.

شكرًا لك على الاشتراك في دليل Tom. سوف تتلقى رسالة بريد إلكتروني للتحقق قريبا.

كان هناك مشكلة. يرجى تحديث الصفحة وحاول مرة أخرى.

لا بريد مزعج ، نحن نعد. يمكنك إلغاء الاشتراك في أي وقت ولن نشارك بياناتك مطلقًا دون إذنك.