Разработчик Тим Коттен (Tim Cotten) обнаружил ошибку в пользовательском интерфейсе Gmail, которая позволяет скрывать адрес электронной почты отправителя. При определенной настройке поле From остается пустым и в списке входящих, и при открытии сообщения. Злоумышленники могут использовать этот баг для того, чтобы выдать свои письма за системные уведомления или сообщения от почтового сервиса.

Неделей ранее эксперт опубликовал статью о другой уязвимости в Gmail, которая позволяет добавлять письма в папку «Отправленные», даже если человек никогда их не посылал. По мнению Коттена, это дает мошенникам новую площадку для махинаций. Жертва может заинтересоваться сообщением, которого не помнит, открыть его и нажать на вредоносную ссылку.

После этого разработчик решил проверить, нет ли в интерфейсе Gmail других возможностей для атаки. Ему удалось выяснить, что если в структуру «имя» <адрес_отправителя> в строке From: вставить объемный тэг <object>, <script> или <img>, то при отображении списка входящих сообщений это поле останется совершенно пустым. Сведения о том, от кого пришло сообщение, нельзя будет увидеть, даже если открыть письмо или попытаться на него ответить .

Нужную информацию можно обнаружить, только нажав кнопку «Показать оригинал». Поле From вновь остается пустым, однако в детализации заголовков обратный адрес виден, как и тэг <img> с большим количеством зашифрованных данных — именно его Коттен использовал для своего эксперимента. Специалист пришел к выводу, что всю «шапку» письма Google сохраняет и преобразует, однако UX-система не способна отобразить ее должным образом.

В качестве доказательства своего предположения разработчик приводит пример. Обычно фрагмент HTML-кода при отображении поля From письма в приложении Gmail выглядит следующим образом:

<span class=»qu» role=»gridcell» tabindex=»-1″>

<span email=»root@myserverhere.com» name=»root@myserverhere.com» data-hovercard-id=»root@myserverhere.com» class=»gD» data-hovercard-owner-id=»21″>root@myserverhere.com</span>

</span>

Однако после внесения изменений в заголовок картина меняется:

<span class=»qu» role=»gridcell» tabindex=»-1″>

<span email=»» name=»» data-hovercard-id=»» class=»gD»></span>

</span>.

Коттен предупреждает, что письмо с пустым полем отправителя может ввести в заблуждение даже опытного пользователя. Если злоумышленники убедительно сымитируют, например, важное уведомление от той же Google, жертва может не обратить внимания на отсутствие обратного адреса и передать им конфиденциальные данные или перейти по фишинговой ссылке внутри сообщения.

Про оба найденных бага исследователь сообщил в Google, однако ответа пока не получил.

Поисковый гигант регулярно внедряет новые функции безопасности. В частности, в прошлом году компания Google объявила о добавлении в почтовый сервис поддержки технологии строгой безопасности передачи данных (SMTP Strict Transport Security), принудительно применяющей протокол HTTPS при переходе по ссылкам.

Однако мошенники тоже постоянно совершенствуют свои методы. Так, в 2017 году все больше фишинговых сайтов для маскировки стали использовать HTTPS-домены, вводя пользователей в заблуждение зеленым замочком и наличием SSL-сертификата.

Категории: Уязвимости