Брешь в Gmail позволяет осуществить спуфинг-атаку

Независимый исследователь Ян Чжу (Yan Zhu) обнаружила брешь в официальном приложении Gmail для Android-устройств, которая позволяет злоумышленникам изменять имя отправителя электронного письма.

Для осуществления классической спуфинг-атаки на электронную почту хакеру необходим SMTP-сервер. Тем не менее, Чжу удалось обнаружить уязвимость в почтовом клиенте, с помощью которой она смогла изменить имя отправителя в настройках учетной записи таким образом, чтобы адресату было неизвестно, кто в действительности отослал письмо. Исследователь осуществила показательную атаку, отправив сообщение, в заголовке которого значилось yan “”security@google.com”.

«Дополнительные кавычки в строке с именем отправителя вызывает ошибку синтаксического анализа в приложении Gmail, из-за чего становится видимым настоящий электронный адрес. Возможность подменить имя отправителя существовала всегда, однако в настоящее время такие письма обычно попадают в спам-фильтры или отображаются с предупреждением от Gmail. Обнаруженная мною брешь позволяет хакеру обойти эти меры безопасности», - сообщила Чжу изданию Motherboard.

В конце прошлого месяца исследователь уведомила Google об уязвимости, однако в компании отклонили это сообщение, заявив, что подмена имени отправителя в электронном письме не является проблемой безопасности.