Fałszywy adres i luka w mobilnym Gmailu (Android)
#1
Kilka dni temu pojawiła się w sieci informacja o luce w mobilnej wersji Gmaila na urządzeniach z Androidem...najogólniej polega ona na możliwości spreparowania adresu tak, by odbiorca widział inny, niż w rzeczywistości. Jedyną szerszą informacją na ten temat znalazłem na technologie.gazeta.pl  i stąd cytat poniżej.
Komentarze są różne - od pobłażliwego czy ironicznego ignorowania problemu do obaw o możliwość ukrywania tożsamości, wyłudzania informacji, rozsyłania infekcji dzięki fałszywym załącznikom - dla mnie to dość poważny [problem, bo mam wrażenie, że mało kto sprawdza czy pod widocznym adresem nadawcy kryje się inny nadawca (poza ewidentnymi przypadkami podejrzeń, że tak może być).

Cytat:Mobilna aplikacja Gmail ma lukę, która pozwala wysłać wiadomość podszywając się pod dowolnego nadawcę. Odkrywczyni błędu twierdzi, że tak spreparowanej wiadomości nie przechwycą filtry antyspamowe Google. Google uważa, że cała sytuacja nie jest zagrożeniem.

Yan Zhu, zajmująca się na co dzień programowaniem, odkryła lukę w mobilnej aplikacji Gmail pozwalającą na podszycie się pod dowolną osobę.
Sztuczka jest prosta, ale niezwykle skuteczna. Wystarczy, że przy użyciu mobilnego Gmaila zmienimy nazwę naszego konta np. na ""[email protected]"". Podwójne symbole są celowe - jeśli tak opiszemy konto odbiorca poczty otrzyma wiadomość od "[email protected]". Co więcej prawdziwy adres e-mail, z którego wysyłamy wiadomość, zostanie ukryty.
Google już w październiku otrzymał od Zhu informacje o luce. Specjaliści firmy opowiedzieli jednak, że nie dotyczy ona kwestii bezpieczeństwa.

Cytat:[url=https://twitter.com/bcrypt/status/664519489837506560][/url]filed a gmail android bug that lets me fake sender email address. they said it's not a security issue. -\_(?)_/-

- yan? (@bcrypt) listopad 11, 2015

Motherboard podkreśla, że istnieje co prawda cała masa sposobów na podobną manipulację adresami, to jednak Gmail zazwyczaj je wychwytuje. I umieszcza spreparowane wiadomości w folderze Spam. Metoda Zhu, która działa jedynie na androidowej wersji Gmaila, pozwoliła omijać takie zabezpieczenia. I dlatego można ją uznać za potencjalnie niebezpieczną.

Źródło cytatu

[Aby zobaczyć linki, zarejestruj się tutaj]


Obszerniejsze opracowanie na thehackernews.com

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości