В приложении Gmail Android найден опасный баг, позволяющий скрыть имя отправителя email

Мобильное приложение Gmail Android дает возможность отправить письмо от имени другого адресата. Это открывает путь к уязвимости и недалеко уходит от такого понятия, как фишинг.

Опасная уязвимость была обнаружена независимым экспертом безопасности Yan Zhu. О своей ошибке она не замедлила сообщить в Google, сделав это в конце октября. Данный баг актуален только для встроенного приложения Gmail Андроид. Чтобы отправить email от чужого имени, достаточно зайти в настройки приложения Gmail в ОС Android и поменять персональное имя в аккаунте, после чего адрес email будет надежно скрыт и получатель не узнает его.

Для отправки письма, Zhu изменила имя на yan ""security@google.com", дополнив email кавычкой. Дополнительные кавычки инициируют ошибку при парсинге непосредственно в приложении Gmail, при этом реальный email становится невидимым.

По словам Zhu, команда безопасности Google отклонила баг репорт, заявив, что в этом нет угрозы безопасности. При том что риск уязвимости все же есть: учитывая то, что баг распространяется только на мобильное приложение, установленное по умолчанию у всех пользователей Андроид. В то же время, это может стать находкой для злоумышленника, который решит отправит фишинговое письмо с намерением скрыть свой реальный адрес электронной почты. Именно об этом и хотела сообщить Zhu сотрудникам команды безопасности Google, работавшему над приложением Gmail. ' На самом деле, способ скрыть свой email есть всегда, однако защитные фильтры почты gmail, как правило, блокируют подобные анонимные письма, принимая их за спам. В данном случае, однако, хакеры или злоумышленники могут обойти все препятствия и остаться незамеченными.

Впрочем, в Google пока не ответили на второе письмо Zhu. Пользователи Твиттера шутят:

Тогда отправь письмо от имени Сергея или Ларри, мол, найден опасный баг и нужно его немедленно устранить. И проблему быстренько решат.

Советуем загрузить эти мобильные приложения: