Nuevo error de Gmail permite enviar mensajes de forma anonima

Un nuevo error descubierto en Gmail afecta la experiencia del usuario de la aplicación web al ocultar la dirección de origen de un correo electrónico, una situación que conlleva un potencial evidente de abuso.

El error hace que la información del remitente sea realmente difícil de encontrar

El desarrollador de software Tim Cotten descubrió que Gmail no muestra la fuente del mensaje en las áreas en las que la mayoría de los usuarios confían para encontrar este tipo de información.

De acuerdo con su investigación, al tratar con un encabezado 'De:' mal formado de una manera específica, Gmail deja sin rellenar el espacio donde normalmente se muestran los detalles del remitente y solo la línea de asunto está presente para esta entrada.

La apertura del correo electrónico tampoco ayuda, ya que la dirección del remitente permanece oculta y no muestra información, incluso al pasar sobre ella, una acción que normalmente revela los detalles y ofrece varias acciones (agregar a contactos, enviar correos electrónicos, programar eventos, enviar mensajes). un mensaje de Hangouts o iniciar una videollamada).

Tratar de responder al mensaje tampoco ayuda. Cotten intentó pensar que Gmail leería los encabezados originales del correo electrónico y determinaría el destino.

"¡Otra vez equivocado! ¡Gmail está completamente perdido en cuanto a qué hacer!" Cotten escribe en un blog que detalla su nuevo hallazgo.

Profundizando en el problema, el desarrollador se dio cuenta de que el problema no está en el encabezado, sino en la interfaz del usuario.

Al usar la opción Mostrar original, que permite a los usuarios con más experiencia rastrear un correo electrónico, el detalle deseado aún no está disponible en la vista fácil de usar.

Sin embargo, al mirar la información sin procesar, se muestra la dirección de origen enterrada al final de la etiqueta que Cotten usó en su experimento. Ni siquiera tuvo que escribir correctamente el tipo de datos para desencadenar el error.

Desafortunadamente, es muy poco probable que el usuario promedio de Gmail pueda navegar a esta área y determinar de quién proviene el mensaje aparentemente anónimo. Debido a esto, para estos usuarios el riesgo de phishing es alto.

Fingiendo alertas del proveedor de correo electrónico

"Sin la información del remitente, esto parece completamente legítimo y un usuario bien educado podría ser fácilmente engañado para comprometer su propia cuenta", explica el desarrollador.

De hecho, los mensajes sin remitente podrían pasar fácilmente como notificaciones del sistema que no deberían ignorarse, como en el caso de las alertas móviles del operador. Para probar este punto, Cotten creó un correo electrónico con una línea de asunto que pretende entregar una importante advertencia de Google:

El resultado podría interpretarse como una alerta genuina del proveedor de correo electrónico, y es probable que engañe a un gran número de usuarios. A menos que hayan activado la función de autenticación de dos factores (2FA), las víctimas podrían perder sus credenciales de cuenta de Google.

Un trío de errores de phishing

Esta es la segunda vez que Cotten revela un error relacionado con Gmail en menos de una semana. Su trabajo reciente se basa en su descubrimiento anterior que demostró cómo un encabezado 'From:' con formato incorrecto permite colocar una dirección de correo electrónico arbitraria en el campo del remitente.

Hay al menos tres fallos conocidos relacionados con el UX que afectan a Gmail y pueden ser objeto de abuso para phishing de clase alta. Los dos revelados por Cotten están unidos por una falla en la UX que permite a los estafadores crear un enlace 'mailto:' que llena el campo de destino en la aplicación con la dirección que desee; Este último fue reportado a Google hace unos 19 meses y todavía está presente en la aplicación Gmail para Android.

Según el desarrollador, una solución que Google podría implementar para evitar la falsificación del campo Desde es verificar correctamente los encabezados de los correos electrónicos y negar la comunicación con una estructura anómala en los campos del remitente o del destinatario. Otro método propuesto por Cotten es el proyecto Ronomon de Joran Greef , que puede provocar errores cuando no se siguen las especificaciones del correo electrónico.

El desarrollador dice que informó a Google de sus hallazgos pero no recibió respuesta de la compañía. BleepingComputer también se acercó a Google sobre el segundo error, pero no recibió una respuesta al momento de la publicación.

Semrush sigue a tu competencia


Fecha actualización el 2018-11-20. Fecha publicación el 2018-11-20. Categoria: bug Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer
bug