Ο ανεξάρτητος ερευνητής ασφαλείας Yan Zhu αποκάλυψε ένα σφάλμα στην εφαρμογή Android, Gmail που επιτρέπει σε οποιονδήποτε να πλαστογραφήσει τη διεύθυνση ηλεκτρονικού ταχυδρομείου του.
Το σφάλμα εκδηλώνεται όταν ο χρήστης αλλάξει το όνομά του. Εισάγοντας κάτι σαν το παρακάτω κείμενο, επιτρέπει σε οποιονδήποτε να στέλνει πλαστογραφημένα μηνύματα ηλεκτρονικού ταχυδρομείου που μοιάζουν σαν να προέρχονταν από κάποιον άλλο.
</> CODE
Name “”username@domain.com”
Το επιπλέον εισαγωγικά (“) στην αρχή της διεύθυνσης του ηλεκτρονικού ταχυδρομείου είναι περισσότερο από αρκετά για να μπλοκάρουν τον μηχανισμό επικύρωσης του Gmail και να προκαλέσουν email spoofing.
Μετά από αυτό, ο χρήστης μπορεί να εισάγει οποιαδήποτε διεύθυνση ηλεκτρονικού ταχυδρομείου επιθυμεί και όταν στέλνει τα επόμενα μηνύματα, το ηλεκτρονικό ταχυδρομείο θα μοιάζει σαν να έρχεται από το ψεύτικο e-mail.
Ο Yan ανέφερε το θέμα στην Google, αλλά η εταιρεία δεν το έχει διορθώσει ακόμη, αρνούμενοι να το κατατάξουν ως ένα bug ασφαλείας.
Η εξήγηση είναι περίεργη δεδομένου ότι ολόκληρο το DMARC standard, ειδικώς είχε τεθεί σε εφαρμογή για την αποφυγή e-mail spoofing, ένα από τα κύρια κανάλια του πολλαπλασιασμού για επιθέσεις phishing. Η Google είναι μια από τις βασικές κινητήριες δυνάμεις πίσω από το DMARC που εφαρμόζεται σε σύγχρονες υπηρεσίες e-mail.
Ενώ το DMARC και άλλα πρωτόκολλα ασφάλειας ηλεκτρονικού ταχυδρομείου μπορεί να ανιχνεύσουν διάφορες τεχνικές email spoofing και blog spam ή phishing επιθέσεις πριν φθάσουν στους χρήστες. Οι δοκιμές του Yan έχουν δείξει ότι το σφάλμα της είναι επί του παρόντος μη ανιχνεύσιμο.
Αυτό το ζήτημα επηρεάζει μόνο την εφαρμογή Gmail για το Android.
