Google отрицает тот факт, что у пользователей Gmail на платформе iOS есть какие-либо проблемы, в то время, как сообщалось, что в отношении клиента для операционной системы Apple может иметь место перехват информации ввиду отсутствия в нем важного компонента безопасности.
Lacoon Mobile Security - компания, базирующаяся в США и Израиле, установила, что Gmail не хватает сертификатов, что означает, что разработчик не закодировал сертификат в цифровом виде в приложении.
Сертификаты используются для шифрования потока данных между мобильным приложением и сервером разработчика. Такое сообщение обычно происходит благодаря протоколам безопасности SSL/TLS.
Однако, иногда хакеры могут обходить эти сертификаты и таким образом расшифровать трафик.
В пятницу Google отрицали тот факт, что отсутствие сертификата представляет проблему безопасности в Gmail.
"Это не уязвимость в приложении Gmail," сказала компания в сообщении, опубликованном посредством электронной почты. "Сценарий, о котором говорит Lacoon, предполагает, что пользователь должен будет выполнить явное действие - а именно, специально установить некорректный, неправильный сертификат, который сможет дать доступ хакеру к приложению."
Джон Пирк, главный технолог NSS Labs, которая тестирует продукты в плане безопасности для корпоративных клиентов, согласился с тем, что хакеру необходимо найти способ отправить вредоносный сертификат на iPhone или iPad, а затем еще и обмануть пользователя, заставив запустить его.
"Возможность того, что кто-то окажется настолько недальновидным и глупым, что запустит на своем устройстве непроверенный и непонятно откуда взявшийся сертификат совершенно по доброй воле, кажется мне ничтожно маленькой", - сказал Пирк.
Описывая гипотетическую атаку, Lacoon признавали, что пользователю в обязательном порядке нужно будет открыть вредоносный файл.
В том случае, если основной целью такого взлома является какой-то бизнесмен, Lacoon предположили, что хакер может отправить сообщение электронной почты, к примеру, якобы от IT-отдела, который в своем сообщении просит клиента установить прикрепленный сертификат (который может быть выдан за конфигурационный файл) на свой смартфон.
Однако, даже если бы все системы безопасности были на месте, в том случае, если речь идет о корневом сертификате, он все равно был бы установлен.