Независимая исследовательница Янь Чжу (Yan Zhu) обнаружила баг в официальном приложении Gmail для Android. Брешь позволяет любому желающему заняться почтовым спуфингом.
Обычно, для подделки адреса отправителя в письме, хакерам приходится прибегать к различным трюкам, но Чжу обнаружила, что вовсе необязательно поднимать для этого собственный SMTP-сервер. Оказывается, достаточно изменить определенным образом имя пользователя в настройках аккаунта, заставив парсер неверно его обработать. Так, в примере, приведенном Чжу, письмо отображается, как отправленное с адреса security@google.com, благодаря тому, что исследовательница сменила имя на yan ""security@google.com"
(именно с дополнительной кавычкой):
no dkim validation error, etc. anyway i am prolly gonna stop bugging them. pic.twitter.com/2VmEk8u4kB
— yan (@bcrypt) November 11, 2015
Парсер Gmail реагирует на это некорректно, в итоге реальный email отправителя оказывается скрыт, а поле «От» содержит фейковый адрес.
Чжу сообщила о проблеме в поддержку Google еще в октябре текущего года, но там ей дали довольно неожиданный ответ:
«Спасибо, что обратили на это внимание, но мы не считаем, что это брешь в безопасности», — цитирует сотрудника службы безопасности Google Чжу.
filed a gmail android bug that lets me fake sender email address. they said it's not a security issue. ¯_(ツ)_/¯
— yan (@bcrypt) November 11, 2015
После такого официального ответа Google, исследовательница решила опубликовать информацию о бреши у себя Twitter. Возможно, данная уязвимость и не представляет огромной опасности, но определенно позволяет обойти защиту того же Gmail, спам-фильтры которого обычно неплохо справляются с распознаванием фишинговых писем и другой нежелательной корреспонденции. К тому же, почтовый спуфинг давно не был таким простым.
Компания Google не дает официальных комментариев, и проблему пока не исправили. Зато компания анонсировала, что совсем скоро Gmail будет предупреждать пользователя, если полученное им письмо пришло по незащищенным каналам, не поддерживающим шифрование.
Фото: Cairo