В приложении Gmail Android найден опасный баг, позволяющий скрыть имя отправителя email

Автор новости: Влад Петренко | Опубликовано 15.11.2015 05:59 AM в новостях

Мобильное приложение Gmail Android дает возможность отправить письмо от имени другого адресата. Это открывает путь к уязвимости и недалеко уходит от такого понятия, как фишинг.

Опасная уязвимость была обнаружена независимым экспертом безопасности Yan Zhu. О своей ошибке она не замедлила сообщить в Google, сделав это в конце октября. Данный баг актуален только для встроенного приложения Gmail Андроид. Чтобы отправить email от чужого имени, достаточно зайти в настройки приложения Gmail в ОС Android и поменять персональное имя в аккаунте, после чего адрес email будет надежно скрыт и получатель не узнает его.

Для отправки письма, Zhu изменила имя на yan ""security@google.com", дополнив email кавычкой. Дополнительные кавычки инициируют ошибку при парсинге непосредственно в приложении Gmail, при этом реальный email становится невидимым.

По словам Zhu, команда безопасности Google отклонила баг репорт, заявив, что в этом нет угрозы безопасности. При том что риск уязвимости все же есть: учитывая то, что баг распространяется только на мобильное приложение, установленное по умолчанию у всех пользователей Андроид. В то же время, это может стать находкой для злоумышленника, который решит отправит фишинговое письмо с намерением скрыть свой реальный адрес электронной почты. Именно об этом и хотела сообщить Zhu сотрудникам команды безопасности Google, работавшему над приложением Gmail. ' На самом деле, способ скрыть свой email есть всегда, однако защитные фильтры почты gmail, как правило, блокируют подобные анонимные письма, принимая их за спам. В данном случае, однако, хакеры или злоумышленники могут обойти все препятствия и остаться незамеченными.

Впрочем, в Google пока не ответили на второе письмо Zhu. Пользователи Твиттера шутят:

Тогда отправь письмо от имени Сергея или Ларри, мол, найден опасный баг и нужно его немедленно устранить. И проблему быстренько решат.

Не нашли ответ на свой вопрос? Возможно, вы найдете решение проблемы на нашем канале в Youtube! Здесь мы собрали небольшие, но эффективные инструкции. Смотрите и подписывайтесь на наш youtube-канал!

Смотреть на Youtube