SOS :: Security Operation Space
29 марта, пятница, 00:00
|
Hot News:

Баг в Gmail позволяет скрыть адрес отправителя

20 ноября 2018 г., вторник, 13:42

Злоумышленники могут использовать сбой для рассылок спама и фишинговых атак, выдавая письмо за системное уведомление.

Разработчик Тим Коттен (Tim Cotten) обнаружил ошибку в пользовательском интерфейсе Gmail, которая позволяет скрывать адрес электронной почты отправителя. При определенной настройке поле From остается пустым и в списке входящих, и при открытии сообщения. Злоумышленники могут использовать этот баг для того, чтобы выдать свои письма за системные уведомления или сообщения от почтового сервиса.

Неделей ранее эксперт опубликовал статью о другой уязвимости в Gmail, которая позволяет добавлять письма в папку «Отправленные», даже если человек никогда их не посылал. По мнению Коттена, это дает мошенникам новую площадку для махинаций. Жертва может заинтересоваться сообщением, которого не помнит, открыть его и нажать на вредоносную ссылку.

После этого разработчик решил проверить, нет ли в интерфейсе Gmail других возможностей для атаки. Ему удалось выяснить, что если заменить элемент <sender_email_here> в поле From: «name, recipient_email_here» на <object>, <script> или <img>, то поле отправителя останется совершенно пустым. Сведения о том, от кого пришло сообщение, нельзя увидеть, даже если проверить детальную информацию или попытаться ответить на письмо.

Нужную информацию можно обнаружить, только нажав на кнопку «Показать оригинал». Поле From вновь остается пустым, однако адрес становится видно в конце тега <img> — именно его Коттен использовал для своего эксперимента. Специалист пришел к выводу, что всю «шапку» письма Google сохраняет и преобразует, однако UX-система с этим не справляется на должном уровне.

В качестве доказательства своего предположения разработчик приводит пример. Обычно фрагмент HTML-кода при отображении поля From письма в приложении Gmail выглядит следующим образом:

<span class=»qu» role=»gridcell» tabindex=»-1″>

<span email=»root@myserverhere.com» name=»root@myserverhere.com» data-hovercard-id=»root@myserverhere.com» class=»gD» data-hovercard-owner-id=»21″>root@myserverhere.com</span>

</span>

Однако у нас картина такая:

<span class=»qu» role=»gridcell» tabindex=»-1″>

<span email=»» name=»» data-hovercard-id=»» class=»gD»></span>

</span>.

Коттен предупреждает, что письмо с пустым полем отправителя может ввести в заблуждение даже опытного пользователя. Например, если злоумышленники представятся сотрудниками службы поддержки одного из известных сервисов. Таким образом преступники могут попытаться заставить жертву передать им конфиденциальные данные или перейти по фишинговой ссылке внутри сообщения.

Про оба найденных бага исследователь сообщил в Google, однако ответа пока не получил.

Поисковый гигант регулярно внедряет новые функции безопасности. В частности, в прошлом году компания Google объявила о добавлении в почтовый сервис поддержки технологии строгой безопасности передачи данных (SMTP Strict Transport Security), принудительно применяющий протокол HTTPS при переходе по ссылкам.

Однако мошенники тоже постоянно совершенствуют свои методы. Так, в 2017 году все больше фишинговых сайтов для маскировки стали использовать HTTPS-домены, вводя пользователей в заблуждение зеленым замочком и наличием SSL-сертификата.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.084
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.