Za běžných okolností bych tuto zprávu nepsal, potíž je ale v tom, že chyba se týká připojení k MS Exchange serveru přes iOS a Android mobilní přístroje. Stručně řečeno jde o klasický útok Man-in-the-middle, kdy útočník předstírá, že server, ke kterému se připojujete je Exchange server a ne server útočníka, jak tomu ve skutečnosti je.
Celá finta spočívá v tom, že útočník podvrhne svůj server jako Exchange server a vytvoří spojení pomocí SSL a tzv. selfsigned certifikátu. Tento typ certifikát by se měl používat pouze pro testovací účely a nikdy by neměl být na nějakém produkčním stroji. Bohužel v menších firmách se tento typ certifikátů používá běžně (jak odhlalila studie), což pak přináší značné bezpečnostní riziko. (Zejména v tom, že komunikace mezi serverem a klientem je sice šifrovaná, ale klient nemá žádný způsob jak zjistit, že se spojil se správným serverem).
Zařízení s Androidem, které se spojí s Exchange serverem obsahujícím selfsigned certifikát se spojí s jakýmkoliv serverem na určené adrese, dokonce i když jsou SSL informace podvrženy a obsahují špatná data. Neradujte se, iOS nedopadl o mnoho lépe. Zobrazil varování, že SSL certifikát nesouhlasí, ale stejně dovolil uživateli se připojit. Telefony s Windows pak zobrazili chybu a odmítli připojit uživatele k serveru.
Evidentně se zde objevují dvě chyby: Na straně administrátorů, kteří často používají selfsigned certifikáty a také na straně implementace ActiveSync protokolu, kdy výrobci nedostatečně kontrolují kam se klient připojuje. Google ani Apple na problém nereagovali, představitelé Microsoftu tvrdí, že se Exchange team problémem zabývá.
