近日,Gmail被曝出現漏洞:在郵件的“發件人”部分,如果使用錯誤的標題結構則可能導致攻擊者在發件人字段中插入任意內容。
雖然這個漏洞目前還不會造成太大的危害,但是能夠添加任意的收件人地址以及發送郵件,也無形之中增加了網絡犯罪的可能性。
漏洞來源
該漏洞由軟件開發人員Tim Cotten發現,起因是他所在的公司有一名員工上報,表示在自己的郵件中發現了一些並非本人發送的內容,經過查看後發現,這些郵件確實不是通過她的郵箱發送,而是外部賬戶,但在發送後會被自動歸檔到這名員工的發件箱中。
研究人員發現,這些郵件的發件地址的標題結構中出現了明顯的異常:既有發件人的地址,也有收件人的地址。
對此,開發人員解釋說,這個問題出現在發件人位置,發件人字段中包含的收件人地址和其他信息會被gmail的其他app讀取並用來過濾或執行相關指令,而外來人員則可通過這個渠道去假冒收件人信息。因此,在發件人中插入其他的文本內容,便會被gmail的過濾機制讀取並自動添加發件目標,而效果就像是原發件人發出的一樣。
Cotten就此事與谷歌進行了聯繫,但目前尚未收到答覆。但在上報之後,目前再使用相同的方法進行測試,gmail會提示有多個地址而無法發送,也就是說這個漏洞已經被修復了。
但研究人員是用另一種方式嘗試發件之後發現,類似的問題仍然存在。
如果攻擊者在發送郵件界面,在發件人字段中直接填寫收件人的地址時,gmail就會彈出不正確的提示。首先,發送的郵件會到達收件箱,同時,在已發送界面中同樣會多處一個新郵件,這很容易會引起人的注意。
攻擊者的福利
當然,漏洞的存在就意味著風險的存在,郵件攻擊一向是網絡犯罪中的熱門選項,而gmail的漏洞,使得攻擊者可以在標題中添加任何電子郵件的地址,這就可能會具備相當高的欺騙性。
Cotten通過電子郵件演示了漏洞的具體情況,也向人們展示了其可用性:收件人可以看到不同於發件人的來源,但發件人並不知情。
上圖的實例顯示了郵件可與任意地址相關聯。雖然用於詐騙來說,這種方法還比較低端,但也許用在網絡釣魚方面會是個不錯的選擇,畢竟具有欺騙性的郵件來源很容易讓人們忽視風險。
一個bug引發的歷史遺留問題
Cotten對漏洞的公開披露引發了大量針對gmail的輿論,同時還引起了針對另一個gmail漏洞的討論。該漏洞雖然已被修復,但有人指出,在向谷歌上報了19個月之後,在Android系統中仍然存在類似的問題。
由於對輸入字段的檢查不夠充分,因此可以使用兩個電子郵件的地址創建“mailto:URL”的方法,一個填寫接收者名稱,另一個則填寫實際的收信地址,如下所示:
mailto:“[email protected]”
如果將該方法真正用於網絡詐騙中,將收件人的地址填寫成攻擊者的收件箱,那麼受害者只能看到後面的mailto的地址,即“[email protected]”這一部分。具體如何利用,一個簡單的栗子,只需要把後面的鏈接換成惡意郵件就行了。
*消息參考:https://www.freebuf.com/news/189607.html
閱讀更多 安全週刊 的文章
