Dua kesalahan serius yang dapat digunakan untuk phishing ditemukan pada bulan November di antarmuka Gmail oleh peneliti Tim Cotten.
Kami menggeser surat itu ke kotak masuk orang lain
Bug pertama muncul ketika Tim mempelajari insiden di perusahaannya. Salah satu koleganya menemukan di akun GMail di folder Item Terkirim beberapa surat yang tidak dia kirim. Sebagai hasil dari analisis situasi, ternyata surat-surat itu dikirim dari akun orang lain dan, setelah diterima, secara otomatis ditempatkan di folder Terkirim.
Ternyata bidang "Dari:" sebenarnya berisi dua alamat milik pengirim yang sebenarnya dan penerima yang sebenarnya. Selain itu, alamat penerima karena kurangnya penawaran dianggap oleh server mail sebagai teks yang menyertai ke alamat email kedua. Dan antarmuka kotak surat menganggap catatan yang dihasilkan sebagai dua alamat yang berbeda. Menurut Cotten, maka saat memproses bidang
Dari: yang berisi alamat penerima, Gmail mengurutkan pesan menjadi paket-paket yang dikirim, meskipun faktanya pesan tersebut masuk dan berasal dari alamat yang berbeda.
Dari: Mary, mindy@________.com (2) <info@nrccvictory.com>
Tanggal: Sel, 13 Nov 2018 pukul 14:36
Subjek: Urgent: Konfirmasikan suara Anda
Kepada: mindy ________ <mindy @________. Com>
Tim Cotten memberi tahu Google tentang masalahnya. Perusahaan tidak menanggapi permintaan tersebut, tetapi saat berikutnya Anda mencoba mengirim email dengan beberapa alamat di bidang
Dari :, server Gmail mengembalikan pesan kesalahan. Cotten tidak menyerah dan memodifikasi struktur header, setelah surat itu dikirim, dan peneliti yakin bahwa masalahnya masih ada. Tim percaya bahwa penyerang potensial dapat menggunakan fitur ini untuk serangan phishing tingkat lanjut.
Kami mengirim surat "anonim"
Beberapa hari kemudian, Tim menemukan
bug kedua yang secara visual menyembunyikan alamat email pengirim. Seperti dalam kasus sebelumnya, simpatisan menyimpulkan bahwa fitur seperti itu berpotensi digunakan untuk tujuan jahat.
Vektor eksploitasi untuk bug ini lagi-lagi ditemukan dalam cara mengisi bidang
Dari: dengan tag HTML
<object>, <script> <img>
. Akibatnya, antarmuka Gmail menampilkan bidang kosong alih-alih alamat pengirim.
Peneliti sampai pada kesimpulan bahwa ketika Gmail menangani bidang
Dari: yang dihasilkan secara khusus, antarmuka kotak surat tidak dapat menampilkan informasi pengirim:
Setelah mempelajari masalah tersebut, peneliti sampai pada kesimpulan bahwa itu terdiri dari bagaimana proses skrip antarmuka pengguna (mem-parsing) header pesan. Jika Anda melihat teks sumber surat di tempat dengan tajuk, Anda dapat menemukan bahwa alamat pengirim ada, tetapi "disembunyikan" setelah akhir tag.
Tim Cotten, dalam hal ini, mengirim semua informasi tentang masalah tersebut ke Google, tetapi sekali lagi tidak menerima jawaban apa pun.