Приложение Gmail для Android-устройств подвержено спуфинг-атаке


gmailНезависимым исследователем Ян Чжу (Yan Zhu) была обнаружена брешь в официальном приложении Gmail для Android-устройств. Брешь позволяет злоумышленникам изменять имя отправителя электронного письма.

Напомним, что для осуществления классической спуфинг-атаки на электронную почту хакеру необходим SMTP-сервер. Чжу обнаружила уязвимость в почтовом клиенте. С ее помощью исследователь сумела изменить имя отправителя в настройках учетной записи. Сделала она это таким образом, чтоб адресат не мог определить, кем в действительности было отослано письмо. Чжу осуществила показательную атаку, отправив сообщение. В его заголовке значилось

  • yan “”security @ google . com”


Дополнительные кавычки в строке с именем отправителя вызывает ошибку синтаксического анализа в приложении Gmail. Из-за этого становится видимым настоящий электронный адрес. Возможность подменить имя отправителя существовала всегда. В настоящее время такие письма обычно попадают в спам-фильтры или отображаются с предупреждением от Gmail. Обнаруженная исследователем брешь позволяет хакеру обойти эти меры безопасности.

Ян Чжу уведомила Google об уязвимости еще в конце прошлого месяца. Однако в компании отклонили это сообщение, заявив, что подмена имени отправителя в электронном письме не является проблемой безопасности.


Обновлено (16.11.2015 23:38)