Gmail新漏洞：收件人地址处可任意更改可导致钓鱼攻击

Gmail构架中对的“From:”字段的处理存在漏洞，可能导致黑客将发件人字段的值改为任意电子邮件地址。

尽管这个漏洞的利用比较困难，但至少可以通过随意更改收件人的地址，将目标的已发送的电子邮件的内容彻底混淆。

关于“发送人”字段

软件开发人员Tim Cotten最近调查了一件发生在他公司的事，一个雇员发现在她的Gmail帐户的发送文件夹中有一些她不记得发送过的邮件。

再仔细的看一下，开发人员发现“这类电子邮件不是从她的帐户发送的，而是从外部帐户接收的，然后自动归属到她的发送文件夹中。”

而当查看“From:”头时，就能发现原因，它的结构看上去很异常的，它包含发送者的地址和接收者的地址。

开发人员解释到：“从字段看起来，攻击者构造了From:字段（填入收件人的地址和其他文本），当GMail应用程序读取From字段并用过滤等手段读取内容时，会对内容进行排序，就好像它是由收件人发送的。”

Cotten联系了谷歌，但还没有得到答复。昨天，开发人员检查了问题是否仍然存在，Gmail服务器由于提交的From字段中有多个地址而拒绝请求，似乎漏洞已经修复了。

但在今天做的另一个测试中，他使用了稍微改变的“From:”结构，然后发现这个漏洞似乎一直存在。

如果攻击者在“From.:”头中使用收件人的地址，那么可能会有一些提示跳出来显示某些数据不对。首先，当邮件到达收件箱文件夹，这对于密切关注邮件的人来说是足够显眼的。第二，发送文件夹中的副本以粗体主题行出现。除此之外，更警惕的用户可能会在“From”的字段捕捉到异常。

关于骗子

然而，还是存在高风险。正如Cotten所解释的那样，一个商业隐私的盗窃者可以利用这个制造恶意链接。此外，开发人员告诉我们，从技术上讲，可以在报头之间的引号添加任何电子邮件地址，这样就可以伪造发送者。

在电子邮件演示中，他演示了收件人如何看到不同的发件人，而真正的发件人可能是黑客。

上面的示例显示了与任意地址关联的名称。虽然欺骗不是完美无瑕的，但它也可能起到作用。这种类型的漏洞是电子商业中邮件诈骗的重点，因为他们可以发送假消息，就好像他们是负责授权支付或转移资金的公司个人。

伪造收件人地址的老漏洞

Cotten公开披露的漏洞引发了关于Gmail中漏洞的讨论，这引起了大家对另一个漏洞的注意，该漏洞允许伪造收件人的地址。

而这个问题已经在GmailWeb应用程序中得到解决，但在被报告给Google将近19个月后，Android客户端上仍然可以利用它。

由于Compose框中的数据未被充分检查，因此可以利用两个电子邮件来创建“mailto:”URI；一个冒充收件人的姓名，另一个是实际的目的地址，如下面的示例所示

mailto:​”support@paypal.com”​<scam@phisher.example>

这个漏洞的受害者可能会在Android版客户端的“To:”字段看到PayPal的地址，而真正的地址是骗子的收件箱。

“受害者只需要点击恶意的mailto:link，漏洞就会生效”，Eli Grey在给Google的初始报告中写道。

他还创建了一个POC，演示了骗子如何通过欺骗受害者让他们相信他们正在向可信赖的地址发送消息来窃取敏感信息。

原文链接：https://thehackernews.com/2018/11/facebook-vulnerability-hack.html