چند باگ در رابط کاربری Gmail
محقق امنیتی، تیم کاتن (Tim Cotton)، به تازگی دو باگ در رابط کاربری gmail کشف کرده است.
|
محقق امنیتی، تیم کاتن (Tim Cotton)، به تازگی دو باگ در رابط کاربری gmail کشف کرده است. یکی از این باگها باعث میشود ایمیلی که به شما ارسال شده در پوشه Sent قرار بگیرد (به جای Inbox) و دیگری باعث میشود فیلد From خالی نشان داده شود.
|
|
برای استفاده از آسیبپذیری اول، ارسالکننده باید فیلد From پروتکل SMTP را دستکاری کند. SMTP پروتکلی است که برای ارسال ایمیل استفاده میشود. ساختار فیلد From آن به شکل زیر است:
|
|
From: “Bob Example” |
|
اسم فرستنده در بین علامتهای نقل قول (“”) و آدرس ایمیل وی بین علامتهای <> قرار میگیرد. در واقع، سروری که میل را دریافت میکند باید از قسمت آدرس تشخیص دهد که آن را در Inbox قرار دهد یا Sent. |
|
اما اگر فرستنده در بین “” یک آدرس ایمیل قرار دهد، Gmail دچار اشتباه میشود و از روی قسمت اسم تصمیم میگیرد که ایمیل را در کدام پوشه قرار دهد. حال اگر فرستنده در قسمت نام آدرس گیرنده را قرار دهد، ایمیل به پوشه Sent فرستاده میشود. مثلا: |
|
From: “name, recipient@gmail.com” |
|
ممکن است یک مهاجم، ایمیلی مشابه ایمیلی که شما قبلا فرستادهاید به شما بفرستد و لینکهای موجود در آن را با لینکهای مخرب جایگزین کند. هنگامی که شما در پوشه Sent خود جستجو میکنید ممکن است این ایمیل را با ایمیلی که خود فرستادهاید، اشتباه بگیرید و روی لینکهایی که در آن قرار دارد کلیک کنید. اما وقتی ایمیل را باز کنید، میتوانید با دقت به ایمیل فرستنده این مشکل را تشخیص دهید. |
|
باگ دیگر بدین صورت است که با ارسال نوعی پیام SMTP خاص میتوان کاری کرد که اسم فرستنده در Gmail خالی نشان داده شود. این ممکن است باعث شود دریافتکننده تصور کند ایمیل از منبع درست و مجازی دریافت شده است.
|
 |
|
بنابراین اگر از Gmail استفاده میکنید: اگر ایمیلی را در پوشه Sent پیدا میکنید، آدرس فرستنده را به دقت چک کنید. همچنین در صورتی که ایمیلی بدون اسم فرستنده دریافت کردید، این بررسی را انجام دهید.
|
 |
|
منابع:
|
|
https://blog.cotten.io/hacking-gmail-with-weird-from-fields-d6494254722f https://blog.cotten.io/ghost-emails-hacking-gmails-ux-to-hide-the-sender-46ef66a61eff |