Нажмите CTRL-D чтобы добавить нас в закладки
Внимание! Вы находитесь в незащищенном режиме (HTTP). Для перехода в защищенный режим SSL, нажмите здесь
HackZone.RU - Баг в приложении Gmail для Android позволяет любому отправлять поддельные сообщения
Войти / Регистрация / Участники
Определение даты выпуска iPhone по серийному номеру
-
Поиск по сайту
Форумы



Реклама

Поиск ТОП Добавить публикацию

Баг в приложении Gmail для Android позволяет любому отправлять поддельные сообщения

20.11.2015

Исследователь безопасности обнаружил интересную лазейку в приложении для Android Gmail, которое позволяет любому послать электронное письмо, которое похоже, что его послал кто-то другой, потенциально открывая двери для фишеров.

Это - что-то, что мы называем e-mail spoofing – а именно подделка почтового заголовка так, чтобы электронная почта, выглядела так, будто она пришла от кого-то другого, нежели от того кто её отправил.

Обычно для подмены адреса электронной почты, нападаюшему нужно:

  •     Работающий SMTP-сервер (Simple Mail Transfer Protocol), чтобы послать электронное письмо
  •     Программное обеспечение отправки по почте.

Однако независимый исследователь безопасности Янь Чжу, обнаружила подобную ошибку в официальном приложении Gmail для Android, - она позволяет скрывать свой реальный адрес электронной почты и менять ее отображаемое значение в настройках учетной записи таким образом, чтобы получатель не смог узнать фактического отправителя.

Как отправить поддельные электронные письма через приложение Gmail для Android?

Чтобы продемонстрировать своё открытие, Чжу отправила электронное письмо кому-то, меняя ее отображаемое имя на yan ""security@google .com" (с дополнительной кавычкой). Вы можете видеть ниже скриншот, размещенный Чжу в ее Твиттере.



[Это] дополнительные кавычки [на отображаемом имени] вызывают ошибку парсинга в приложении Gmail, в результате чего скрывается реальный адрес электронной почты", рассказала Чжу редакции Motherboard.


Получатель такого электронного адреса может быть введен в заблуждения, полагая, что почта доставлена от настоящей команды безопасности Gmail, но это не так.

Google – 'Ошибка не является уязвимостью безопасности'

Чжу сообщила о лазейке Службе безопасности Google в конце октября этого года, однако команда не одобрила ее отчет об ошибках, говоря, что ошибка не является уязвимостью безопасности.

"Спасибо за Ваше замечание, но мы не считаем, что это [ошибка] уязвимость безопасности", сказал Чжу член Службы безопасности Google.

    "Сообщил Gmail об ошибке Android, которая позволяет мне фальсифицировать адрес электронной почты отправителя. [Google] ответил, что это не вопрос безопасности. ? \_ (?)_/?", написала Чжу у себя Твиттере.

Email spoofing может использоваться законно, но т.к. подмена адреса электронной почты удивительно проста, спамеры и фишеры используют её в своих интересах, чтобы вредить людям или организациям.

Вот как можно защитить себя от поддельных электронных писем

И так, если Вы хотите защитить себя от поддельных сообщений, Вы можете следовать нескольким правилам:

  •     Включите свои Спам-фильтры – почти каждый почтовый сервис предлагает спам-фильтры и junk-box'ы, которые помечают поддельные электронные письма как нежелательную почту.
  •     Научитесь читать заголовки электронного письма и отслеживать IP-адреса – отслеживание источника спама является хорошей практикой. Когда Вы получаете подозрительное электронное письмо, открываете заголовок и видите, совпадает ли IP-адрес отправителя с предыдущими электронными письмами от того же самого человека.
  •     Никогда не открывайте подозрительные ссылки или подозрительное вложение – всегда обращайте  внимание на электронные письма, которые Вы получаете и избегаете открывать ссылки в электронном письме или загружать вложения. Если необходимо, откройте официальный сайт своего банка или другие веб-сайты непосредственно в браузере и авторизуйтесь в своем аккаунте, чтобы увидеть, что они хотят, чтобы Вы увидели.
  •     Следите за актуальностью своего Антивируса.


При копировании материалов ссылка на HackZone.RU обязательна

Добавить страницу в закладки

 Детали
Категория: Уязвимости
Опубликовал: Five-seveN
Просмотров: 1570
Проголосовало через SMS: 0
  Разместить у себя на сайте
Прямая ссылка
HTML
BBCode ссылка
BBCode ссылка с текстом

 Комментарии (оставить свой комментарий можно здесь)
Только зарегистрированные пользователи могут оставлять комментарии

Зарегистрироваться *** Авторизоваться


 Последние новости и статьи  Последние сообщения с форумов
  • Google Pixel взломали за 60 секунд
  • В CMS Joomla обнаружена критическая 0-day уязвимость
  • ФБР не смогло взломать протокол шифрования переписки террористов ...
  • Полиция обыскала дом предполагаемого создателя платежной системы ...
  • Google: квантовый ПК будет в 100 млн раз быстрее стандартных чипо...
  • "Лаборатория Касперского" констатирует усиление атак кибергруппир...
  • Microsoft Edge откроет исходные коды ChakraCore
  • Anonymous объявили 11 декабря «днём троллинга» ИГИЛ
  • Миллионы телевизоров, смартфонов и маршрутизаторов оказались уязв...
  • Adobe прощается с Flash

    Все новости... Все статьи... Прислать новость RSS
  • Программирование / Другое » Взлом почт и соц сети
  • Взлом и безопасность / Разное » Взлом почт и соц сети
  • Взлом и безопасность / WEB сайтов » Re: Как взломать аккаунт в контакте (VKONTAKTE.RU) (ищем уяз...
  • Сети / Общее » Услуги по: Взлому аккаунтов социальных сетей
  • Взлом и безопасность / Новичкам » Re: как взломать скайп?
  • Портал / Наши новости » Re: Наш ЧАТ
  • Разное / Предложения работы » Hack-Взлом Gmail, Me.com,Mail, Ya, Rambler, Yahoo, Ok ,Vk,Wh
  • Взлом и безопасность / Программы » Re: Lumion 7 - испытание для мастеров
  • Downloads / Другое » Re: помогите, нужны базы по удмуртии
  • Downloads / Другое » помогите, нужны базы по удмуртии

    Все форумы... RSS


  • Разместить рекламу
    © HackZone Ltd. 2007-2012. Все права зарегистрированы.
    Перепечатка материалов без согласования и указания источника будет преследоваться по Закону

    О проекте | История проекта | Размещение рекламы | Обратная связь | Правила поведения на портале
    Ya-Cyt службы мониторинга серверов

    #{title}

    #{text}

    x

    #{title}

    #{text}