Gmail の公式アプリに、セキュリティ上の弱点が見つかりました。

セキュリティ企業 Lacoon Mobile Security によると、iPhone に不正な構成プロファイルをインストールしてしまうと、Gmail アプリの通信内容を第三者に傍受される恐れがあります。

今年2月24日に Lacoon Mobile Security は Google にこの問題を報告していますが、このセキュリティ上の弱点はまだ修正されていません。

なぜ通信が傍受されるのか

Gmail アプリと Gmail サーバの間の通信は暗号化されていますが、なんらかの方法により通信先を変更された場合、偽の証明書を持つ偽のサーバを介して Gmail サーバと通信してしまう恐れがあります。

そこで、通常は『証明書のピン留め』という機能をアプリに追加します。通信先が変更されても、通信時にサーバの証明書をチェックするので偽のサーバとの通信を防げます。しかし、現在の iOS 版 Gmail アプリには、この機能が盛り込まれていません。

そのため、iPhone や iPad の通信先が何らかの方法で変更されてしまうと、Gmail アプリは偽のサーバと通信してしまう恐れがあります。偽のサーバを用意した人物は Gmail アプリでやり取りされるメールを読むことや、内容を書き換えることができます。

構成プロファイルが悪用される

Lacoon Mobile Security によれば、このセキュリティ上の弱点を狙った構成プロファイルを iPhone や iPad にインストールしてしまうと、通信先が変更されて Gmail アプリが偽のサーバを介して通信してしまいます。

構成プロファイルとは、iPhone や iPad の設定を変更できるファイルです。身近な例では、携帯電話会社（キャリア）がメールや Wi-Fi スポットの設定を行える構成プロファイルを公開しています。

対策：構成プロファイルをむやみにインストールしない

構成プロファイルは iPhone や iPad の設定を変えられるファイルなので、むやみにインストールしないようにしましょう。インストールするときは、ファイルを公開している場所や人物を信頼できるか、ファイルによって何が変わるのかを確認しましょう。

構成プロファイルはウェブサイトで公開できるほか、メールに添付して送れます。会社や友人を装ってインストールを勧めてくる例も考えられるので、要注意です。

iPhone や iPad にインストール済みの構成プロファイルは、設定アプリの【一般】→【プロファイル】で確認できます。

Gmail は個人情報の宝庫なので、この弱点を狙った攻撃が登場しても不思議ではありません。被害に遭わないように注意するほか、Gmail アプリを常に最新版にアップデートするようにしましょう。

参考（順不同）

• iOS向けGmailアプリで通信傍受の恐れ、セキュリティ対策の不備か – ITmedia エンタープライズ
• Security Disclosure: Google’s iOS Gmail App Potential Target for Threat Actors – Lacoon Mobile Security

▼知ると得するiPhoneのアレコレをチェック▼