Deux erreurs graves pouvant être utilisées pour le phishing ont été découvertes en novembre dans l'interface Gmail par le chercheur Tim Cotten.
Nous déplaçons la lettre dans la boîte de réception d'un autre
Le premier bug est apparu lorsque Tim a étudié l'incident dans son entreprise. Un de ses collègues a trouvé dans son compte GMail dans le dossier Éléments envoyés plusieurs lettres qu'elle n'a pas envoyées. À la suite de l'analyse de la situation, il s'est avéré que les lettres ont été envoyées à partir du compte de quelqu'un d'autre et, à leur réception, ont été automatiquement placées dans le dossier Envoyé.
Il s'est avéré que le champ «De:» contenait en fait deux adresses appartenant à l'expéditeur réel et au destinataire réel. De plus, l'adresse du destinataire due au manque de devis est perçue par les serveurs de messagerie comme un texte d'accompagnement à la deuxième adresse mail. Et l'interface de boîte aux lettres perçoit l'enregistrement résultant comme deux adresses différentes. Selon Cotten, puis lors du traitement du champ
De: contenant l'adresse du destinataire, Gmail trie le message en packs comme envoyé, malgré le fait que le message soit entrant et provenait d'une adresse différente.
De: Mary, mindy@________.com (2) <info@nrccvictory.com>
Date: mar.13 nov.2018 à 14h36
Objet: Urgent: confirmez votre vote
À: mindy ________ <mindy @________. Com>
Tim Cotten a informé Google du problème. La société n'a pas répondu à la demande, mais la prochaine fois que vous essayez d'envoyer un e-mail avec plusieurs adresses dans le champ
De :, le serveur Gmail a renvoyé un message d'erreur. Cotten n'a pas abandonné et modifié la structure de l'en-tête, après l'envoi de la lettre, et le chercheur était convaincu que le problème était toujours présent. Tim pense qu'un attaquant potentiel pourrait utiliser cette fonctionnalité pour des attaques de phishing avancées.
Nous envoyons des lettres "anonymes"
Quelques jours plus tard, Tim a découvert un
deuxième bogue qui masquait visuellement l'adresse e-mail de l'expéditeur. Comme dans le cas précédent, l'enquêteur a conclu qu'une telle fonctionnalité pouvait potentiellement être utilisée à des fins malveillantes.
Le vecteur d'exploitation de ce bug a de nouveau été trouvé dans la manière de remplir le champ
From: avec des balises HTML
<object>, <script> <img>
. Par conséquent, l'interface Gmail a affiché un champ vide au lieu de l'adresse de l'expéditeur.
Le chercheur est parvenu à la conclusion que lorsque Gmail traite un champ
From: spécifiquement généré, l'interface de la boîte aux lettres ne peut tout simplement pas afficher les informations sur l'expéditeur:
Après avoir étudié le problème, le chercheur est parvenu à la conclusion qu'il consiste en la façon dont les scripts de l'interface utilisateur traitent (analysent) l'en-tête du message. Si vous regardez le texte source de la lettre à la place de l'en-tête, vous pouvez constater que l'adresse de l'expéditeur est présente, mais «masquée» après la fin de la balise.
Tim Cotten, dans ce cas, a envoyé toutes les informations sur le problème à Google, mais encore une fois n'a reçu aucune réponse.