近日,Gmail被曝出現漏洞:在郵件的“發件人”部分,如果使用錯誤的標題結構則可能導致攻擊者在發件人欄位中插入任意內容。
雖然這個漏洞目前還不會造成太大的危害,但是能夠新增任意的收件人地址以及傳送郵件,也無形之中增加了網路犯罪的可能性。
漏洞來源
該漏洞由軟體開發人員Tim Cotten發現,起因是他所在的公司有一名員工上報,表示在自己的郵件中發現了一些並非本人傳送的內容,經過檢視後發現,這些郵件確實不是通過她的郵箱傳送,而是外部賬戶,但在傳送後會被自動歸檔到這名員工的發件箱中。
研究人員發現,這些郵件的發件地址的標題結構中出現了明顯的異常:既有發件人的地址,也有收件人的地址。
對此,開發人員解釋說,這個問題出現在發件人位置,發件人欄位中包含的收件人地址和其他資訊會被gmail的其他app讀取並用來過濾或執行相關指令,而外來人員則可通過這個渠道去假冒收件人資訊。因此,在發件人中插入其他的文字內容,便會被gmail的過濾機制讀取並自動新增發件目標,而效果就像是原發件人發出的一樣。
Cotten就此事與谷歌進行了聯絡,但目前尚未收到答覆。但在上報之後,目前再使用相同的方法進行測試,gmail會提示有多個地址而無法傳送,也就是說這個漏洞已經被修復了。
但研究人員是用另一種方式嘗試發件之後發現,類似的問題仍然存在。
如果攻擊者在傳送郵件介面,在發件人欄位中直接填寫收件人的地址時,gmail就會彈出不正確的提示。首先,傳送的郵件會到達收件箱,同時,在已傳送介面中同樣會多處一個新郵件,這很容易會引起人的注意。
攻擊者的福利
當然,漏洞的存在就意味著風險的存在,郵件攻擊一向是網路犯罪中的熱門選項,而gmail的漏洞,使得攻擊者可以在標題中新增任何電子郵件的地址,這就可能會具備相當高的欺騙性。
Cotten通過電子郵件演示了漏洞的具體情況,也向人們展示了其可用性:收件人可以看到不同於發件人的來源,但發件人並不知情。
上圖的例項顯示了郵件可與任意地址相關聯。雖然用於詐騙來說,這種方法還比較低端,但也許用在網路釣魚方面會是個不錯的選擇,畢竟具有欺騙性的郵件來源很容易讓人們忽視風險。
一個bug引發的歷史遺留問題
Cotten對漏洞的公開披露引發了大量針對gmail的輿論,同時還引起了針對另一個gmail漏洞的討論。該漏洞雖然已被修復,但有人指出,在向谷歌上報了19個月之後,在Android系統中仍然存在類似的問題。
由於對輸入欄位的檢查不夠充分,因此可以使用兩個電子郵件的地址建立“mailto:URL”的方法,一個填寫接收者名稱,另一個則填寫實際的收信地址,如下所示:
mailto:“support@paypal.com”
如果將該方法真正用於網路詐騙中,將收件人的地址填寫成攻擊者的收件箱,那麼受害者只能看到後面的mailto的地址,即“xxx@xxx.com”這一部分。具體如何利用,一個簡單的栗子,只需要把後面的連結換成惡意郵件就行了。
來源:FreeBuf.COM
宣告:本網站所提供的資訊僅供參考之用,並不代表本網站贊同其觀點,也不代表本網站對其真實性負責。
更多資訊: