En noviembre, el investigador Tim Cotten descubrió dos errores graves que pueden utilizarse para suplantación de identidad (phishing) en la interfaz de Gmail.
Cambiamos la letra en la bandeja de entrada de otro
El primer error apareció cuando Tim estudió el incidente en su compañía. Uno de sus colegas encontró en su cuenta de GMail en la carpeta Elementos enviados varias cartas que ella no envió. Como resultado del análisis de la situación, resultó que las cartas se enviaron desde la cuenta de otra persona y, una vez recibidas, se colocaron automáticamente en la carpeta Enviados.
Resultó que el campo "De:" en realidad contenía dos direcciones que pertenecían al remitente real y al destinatario real. Además, la dirección del destinatario debido a la falta de comillas es percibida por los servidores de correo como texto que acompaña a la segunda dirección de correo. Y la interfaz del buzón percibe el registro resultante como dos direcciones diferentes. Según Cotten, cuando procesa el campo
De: que contiene la dirección del destinatario, Gmail clasifica el mensaje en paquetes como enviados, a pesar de que el mensaje es entrante y proviene de una dirección diferente.
De: Mary, mindy@________.com (2) <info@nrccvictory.com>
Fecha: martes 13 de noviembre de 2018 a las 2:36 p.m.
Asunto: Urgente: Confirme su voto
Para: mindy ________ <mindy @________. Com>
Tim Cotten informó a Google sobre el problema. La compañía no respondió a la solicitud, pero la próxima vez que intente enviar un correo electrónico con varias direcciones en el campo
De:, el servidor de Gmail devolvió un mensaje de error. Cotten no se rindió y modificó la estructura del encabezado, después de que se envió la carta, y el investigador estaba convencido de que el problema aún estaba presente. Tim cree que un atacante potencial podría usar esta función para ataques avanzados de phishing.
Enviamos cartas "anónimas"
Unos días después, Tim descubrió un
segundo error que ocultaba visualmente la dirección de correo electrónico del remitente. Al igual que en el caso anterior, el investigador concluyó que dicha característica podría ser utilizada con fines maliciosos.
El vector de explotación para este error se encontró nuevamente en la forma de llenar el campo
De: con etiquetas HTML
<object>, <script> <img>
. Como resultado, la interfaz de Gmail mostró un campo vacío en lugar de la dirección del remitente.
El investigador llegó a la conclusión de que cuando Gmail trata con un campo
From generado específicamente, la interfaz del buzón simplemente no puede mostrar la información del remitente:
Después de estudiar el problema, el investigador llegó a la conclusión de que consiste en cómo las secuencias de comandos de la interfaz de usuario procesan (analizan) el encabezado del mensaje. Si mira el texto fuente de la carta en el lugar con el encabezado, puede encontrar que la dirección del remitente está presente, pero "oculta" después del final de la etiqueta.
Tim Cotten, en este caso, envió toda la información sobre el problema a Google, pero nuevamente no recibió ninguna respuesta.