Android Gmail应用程序安全漏洞让你假装任何人在线

一个错误,允许你作为任何人发送电子邮件通过Gmail应用程序已被认为是一个非问题,尽管有风险利用网络钓鱼活动。

错误是在标准的Gmail应用程序中找到的,只需要几个简单的步骤就可以实现。 据主板报道,这一问题是由安全研究员严珠发现的,并于上周公开披露。

 

 

为了欺骗您的电子邮件地址,并在发送电子邮件时伪装成其他人,您只需要更改您的显示名称在帐户设置,这隐藏了您的合法电子邮件地址。

朱老师通过下图所示的电子邮件截图演示了问题.. 独立研究人员除了把她的显示名改为yan“[email protected]”之外什么也没有做,包括重要的额外引号,它触发了一个解析错误。 然后,这个bug迫使真实的电子邮件地址在Gmail应用程序中变得不可见,从而让朱某隐藏自己作为谷歌安全团队的一员。

如果攻击者能够以这种方式欺骗他们的电子邮件地址,并以合法的方式出现-无论是[email protected][email protected]还是你的杂货店,一个著名的送货代理或朋友和家人,大规模钓鱼活动和钓鱼可能会变得更加成功。

这些技术被网络攻击者用来使欺诈性电子邮件显得合法,并诱使受害者访问恶意网站,这些网站可能下载恶意软件有效负载或引诱人们输入他们的帐户详细信息,为帐户接管、数据盗窃和空银行帐户铺平道路。

您的垃圾邮件框充满了虚假信息的来源,假装是您的银行,金融机构和知名公司,如E湾和PayPal,因为这是不难欺骗电子邮件地址。 然而,这个错误的问题是,漏洞允许攻击者绕过通常的垃圾邮件过滤器,这些过滤器检测和阻止这些消息到达您的主收件箱。

这就是事情变得有些奇怪的地方。 尽管存在这种安全问题,但据朱说,这家科技巨头并不认为这种错误是安全漏洞。 在推特上,朱先生发了言:

这个错误是私下提出的,但如果这是谷歌在这个问题上的立场,可能无法解决。 然而,一些对安全感兴趣的人对朱的下一步开了玩笑,比如给谷歌安全团队发电子邮件,通知他们“暂停工资通知”,或者,正如Phred所说,发送来自“Sergey或Larry”的电子邮件,并告诉他们这是一个高度优先的错误,他们需要立即修复。 问题解决了。“

上周,总部位于CA的山景公司表示,Gmail将被更新,作为一项强化安全努力的一部分。 虽然电子邮件服务已经使用HTTPS加密连接,并实现了一个名为STARTTLS的协议,以防止窥探,但Gmail将警告用户,当他们即将收到来自未加密来源的电子邮件“在未来几个月”。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。