En holländsk certifikatmyndighet har bekräftat att den drabbades av en attack som såg att bedrägliga SSL-certifikat utfärdades för ”ett antal domäner, inklusive Google.com”.
Brott mot certifikatprotokollet kan lämna Gmail-användare öppna för en man-in-the-middle-attack, där trafik omdirigeras genom en annan domän, men ändringen skulle förbli obemärkt för slutanvändarens webbläsare eftersom den falska webbplatsen har ett giltigt SSL-certifikat .
Google sa att endast användare i Iran sannolikt skulle påverkas av problemet, men säkerhetsöverträdelsen belyser risken för att certifikatmyndigheter attackeras av organiserade hackare.
Certifikatmyndigheten DigiNotar sa att den hade ”upptäckt ett intrång i dess Certificate Authority (CA) infrastruktur, vilket resulterade i bedrägligt utfärdande av begäranden om offentliga nyckelcertifikat”.
Vi har fått rapporter om försök till SSL man-in-the-middle-attacker mot Google-användare, där någon försökte ta sig mellan dem och krypterade Google-tjänster
Företaget sa att det sedan dess har återkallat de bedrägliga certifikaten, men med tanke på att säkerhetsexperter har visat att attackerna går månader om inte år tillbaka, kan fler fall dyka upp.
Google har utfärdat en varning till slutanvändare och meddelar att de kan förbli exponerade om de använder vissa webbläsare.
”Vi har fått rapporter om försök till SSL-man-in-the-middle-attacker mot Google-användare, där någon försökte ta sig mellan dem och krypterade Google-tjänster. De drabbade var främst lokaliserade i Iran, säger Heather Adkins, informationssäkerhetschef på Google på en företagsblogg.
”Angriparen använde ett bedrägligt SSL-certifikat utfärdat av DigiNotar, en rotcertifikatmyndighet som inte ska utfärda certifikat för Google (och har sedan dess återkallat det).”
Google sa att Chrome-användare hade skyddats från falska webbplatser av teknik i webbläsaren och att det kränkande certifikatet också hade tagits bort från Firefox, så slutanvändare skulle se en varning om de besökte falska sidor.
Statlig övervakning
Enligt säkerhetsexperter kunde attacken ha varit avsedd att övervaka slutanvändarkommunikation i Iran – antingen av den lokala regeringen eller externa myndigheter, och speglade liknande attacker på Googles kommunikationstjänster tidigare i år.
”Vad kan man göra med ett sådant certifikat? Tja, du kan imitera Google, säger Mikko Hypponen, chefssäkerhetsforskare på F-Secure på sin blogg.
”Men varför skulle någon vilja avlyssna Google? Tja, det här handlar egentligen inte om sökmotorn på www.google.com. Det här handlar om Gmail-servrarna på mail.google.com och Google Docs på docs.google.com, och kanske Google+ på plus.google.com.
”Vi såg en liknande attack i maj. Det är troligt att Irans regering använder dessa tekniker för att övervaka lokala oliktänkande.”
