IT業界資訊媒體

【小心靈異電郵】Gmail 收到無名氏電郵?其實係 bug

軟件開發員 Tim Cotton 最近調查一單公司靈異事件:同事的 Gmail 經常出現非本人發送的電郵。Cotton 檢查後發現,電郵確實唔係從同事電郵發出,而係外部帳號,但不知為何會被自動納入同事的寄件箱內。

再睇返電郵寄件地址,發現「From:header 有異常:不單止有寄件人地址,仲有埋收件人地址。

【小心靈異電郵】Gmail 收到無名氏電郵?其實係 bug
寄件地址中出現收件人地址

謎底已經解開!Cotton 認為,Gmail 在處理 From: 結構時存在漏洞,在「From:」欄位中輸入收件人地址,Gmail 會讀取並對此分類,睇起身就好似收件人發送咁。Cotton 立即聯絡 Google,目前尚未收到答覆。

Cotton 兩日後用第二種方法測試, 證實寄件人地址可以任意修改!佢嘗試將 From:”recipient_email_here” <sender_email_here> 改成其它 tag 例如 <object> <script> <image>,竟然出現完全空白的寄件人地址。

【小心靈異電郵】Gmail 收到無名氏電郵?其實係 bug

撳入去,寄件人的資料亦完全消失,無論係 reply 界面或開原始郵件都一樣。

【小心靈異電郵】Gmail 收到無名氏電郵?其實係 bug

【小心靈異電郵】Gmail 收到無名氏電郵?其實係 bug

【小心靈異電郵】Gmail 收到無名氏電郵?其實係 bug

咁咪益嗮釣魚攻擊或 BEC 變臉電郵攻擊?攻擊者可以喺 headerquotes 等添加電郵地址偽造寄件人,或利用無人氏電郵地址誘導受害者點擊惡意連結。如果收到無名電郵,大家記得小心喇。

相關文章:

【專家主場】小心「加密電郵附件」 https://bit.ly/2DypujA

【專家主場】如何抵禦 BEC 變臉詐騙電郵攻擊? https://bit.ly/2POpq5D

資料來源:https://bit.ly/2S3pbkI