¿Hay casos conocidos de vulnerabilidades / vulnerabilidades en la aplicación oficial de Gmail para Android que podrían permitir que un correo electrónico malicioso instale software no deseado en el teléfono cuando el usuario abre el correo electrónico?
Probablemente no públicamente. Tal vulnerabilidad probablemente sería bastante valiosa, por lo que el descubridor podría sacar provecho de una de las recompensas de errores de Google, o se está utilizando en secreto. Si alguna vez se revelara públicamente, presumiblemente Google lo arreglaría.
En particular: -el teléfono está configurado para bloquear la instalación de aplicaciones de fuentes de terceros -no se abren ni descargan archivos adjuntos
Eso ayudará a proteger a las personas lo suficientemente estúpidas como para hacer clic en un enlace malicioso y luego instalar una aplicación que recibieron de forma aleatoria en un correo electrónico. Contra un exploit adecuado, tal configuración es casi seguramente irrelevante.
¿Cuál es el riesgo?
Probablemente sea lo mismo que se puede esperar de cualquier aplicación comparable publicada por una empresa importante y competente.