У пользователей устройств от Apple под управление операционной системы iOS, использующих также почтовый клиент Gmail, злоумышленники могут перехватить передаваемые данные. Об этом сообщил эксперт в области информационной безопасности Ави Башан (Avi Bashan) из компании Lacoon Mobile Security. По мнению исследователя причина уязвимости в отсутствии реализации в почтовом клиенте от Google для этих платформ криптографической технологии "Certificate Pinning", которая позволяет блокировать попытки подключения с поддельными шифровальными http-сертификатами.
Шифрование столь чувствительного трафика как почтового с помощью сертификатов SSL/TLS уже давно стало стандартом de-facto для провайдеров почтового хостинга. Если злоумышленники получают возможность подделать используемый почтовым серверов и клиентом сертификат, то становится возможной атака типа человек-посередине (man-in-the-middle), при которой данные могут перехватываться и подделываться.
Некоторое время назад другой исследователь в области ИБ уже доказывал опытным путём ненадёжность шифровальных сертификатов Google. Тогда через серверы Gmail было успешно послано поддельное письмо от имени одного основателя Google другому, от Ларри Пейджа Сергею Брину. Успешная подделка оказалось возможной из-за недостаточной длины шифровальных ключей, применявшихся Google.
Согласно утверждениям Ави Башана производитель «дырявого» почтового клиента Google был уведомлен о наличии уязвимости ещё 24 февраля 2014 года и не только не выпустил исправления для ПО, но даже никак не отреагировал на сообщение.
Существующая технология "Certificate Pinning", которая реализована в браузере Chrome от того же Google могла бы решить проблему. Остаётся неясной причина, по которой Google медлит с внедрением её в почтовый клиент и ставит тем самым под угрозу безопасность множества пользователей своего почтового сервиса Gmail.
