Verschlüsselte Verbindungen in Gmail für iOS unsicher
Sicherheitsforscher aus Israel berichten von einer schwerwiegenden Sicherheitslücke in Gmail, durch die Angreifer
verschlüsselte Daten zwischen iPhone und Google-Server abfangen und manipulieren können. Dies erfolgt durch einen sogenannten "Man in the middle"-Angriff, bei dem der Gmail-App ein gefälschtes Zertifikat untergeschoben wird. Der Angreifer gibt sich dabei als vermeintlicher Google-Server aus und kann alle Daten mitlesen und ändern. So ein Angriff ist vor allem in öffentlichen Wi-Fi-Netzen möglich, wie sie am Flughafen oder in Restaurants anzutreffen sind.
Die Sicherheitsforscher betonen, dass die Lücke nur in der iOS-Version von Gmail besteht. Die Android-Version ist hingegen sicher, weil hier Google das Zertifikat in die App integriert hat, sodass Angreifer sich nicht als Google-Server ausgeben können. Warum Google dies nicht in der iOS-Version genauso handhabt, ist unklar. Die Sicherheitsforscher gehen davon aus, dass es von den Entwicklern schlicht übersehen wurde. Gegenüber Network World wollte sich Google nicht zu der Sicherheitslücke äußern. Es kann aber davon ausgegangen werden, dass bereits an einer Behebung gearbeitet wird.
Weiterführende Links: