Подвержен ли Gmail на Android атакам MITM?

Мой работодатель выполняет MITM на gmail.com, создавая собственный центр сертификации. Я заметил, что это относится только к веб-версии Gmail. Кроме того, Chrome в Windows предупредит меня, если сертификат не является полностью подлинным.

Это относится и к приложению для Android? Будет ли та же логика MITM для Gmail Web работать в приложении для Android или приложение будет более безопасным? Обратите внимание, что я не получаю одинаковые предупреждения о сертификатах в приложении. Трудно сказать, перехватывается ли мой трафик через приложение. Существуют ли какие-либо другие методы, которые можно использовать для перехвата и расшифровки трафика из приложения Gmail для Android?

Мобильные данные сложно перехватить, хотя с точками доступа Wi-Fi это возможно (в компаниях я уже видел этот веб-MITM в некоторых прокси, поэтому они могут сканировать, что происходит — хотя это как минимум сомнительно, если не снова закон об этом). Но я еще не слышал ни об одном случае (что, конечно, ничего не значит)...

Ответы (1)

Действительно, переопределение сертификатов — это один из самых популярных способов компрометации https. Таким образом, если вашему работодателю удастся создать сертификат, обманывающий приложение, он может легко выполнить атаку MiTM.

Некоторые ссылки для проверки атак mitm на приложение gmail:

Есть ли способ просмотреть центр сертификации, который в настоящее время используется Gmail? Как узнать, действует ли MITM или нет?
Подтвердить MITM-атаку — не самая простая вещь в мире. Особенно, если он «пассивный», что означает, что злоумышленник просто отслеживает ваши данные, а не изменяет их. Честно говоря, я не знаю, где можно найти центр сертификации для приложения. Может, это специально спрятано.
Привет, Роберт, я не знаю, какую версию Android вы используете, но на Android 4 вы можете перейти в «Настройки» -> «Безопасность», и там есть параметр «Доверенные учетные данные», где вы можете увидеть используемые полномочия. Но я не мог подключить их к конкретным приложениям
Спасибо и извините за задержку py_script. Я сам проводил некоторые фоновые исследования по этому поводу. В итоге я использовал wireshark для проверки рукопожатия SSL, выполненного приложением Gmail. По какой-то причине я не вижу корневой сертификат в цепочке, самый верхний сертификат - это просто Google. Так что до сих пор не ясно, перехватывается он или нет.
Подвержен ли Gmail на Android атакам MITM?
СпросиСетьПолитика конфиденциальности1y, 0v