Buzz
Vấn đề về người gửi
Mới đây, nhà phát triển phần mềm Tim Cotton đã phát hiện ra sự cố trong thư mục Sent của một nhân viên nữ tại công ty của ông, khiến cô ấy không thể nhớ được các email đã gửi.
Gmail phát hiện lỗ hổng trong trường 'From:'
Trong quá trình khám phá nguyên nhân lỗi Gmail này, nhà phát triển phần mềm phát hiện rằng các email không phải được gửi từ tài khoản của nhân viên nữ đó mà từ một tài khoản bên ngoài tự động.
Mọi thứ trở nên rõ ràng hơn khi xem xét cấu trúc trường 'From:'. Thông thường, trường này bao gồm địa chỉ của người gửi cùng với địa chỉ người nhận.
Tuy nhiên, theo nhà phát triển, có vẻ như cấu trúc trường 'From:' đã được cấu hình chỉ bao gồm địa chỉ người nhận cùng với các nội dung văn bản khác. Ứng dụng Gmail đọc trường From để lọc và sắp xếp thư đến, nhưng đồng thời cũng có nguy cơ giả mạo các thư đến như thể người nhận đã gửi.
Cotton đã liên hệ và báo cáo với Google về vấn đề này nhưng chưa nhận được phản hồi. Nhà phát triển cũng tiết lộ trong một thử nghiệm khác rằng dù sử dụng cấu trúc 'From:' có chút khác biệt, vấn đề vẫn tồn tại. Máy chủ Gmail từ chối phân phối trên các tài khoản có nhiều địa chỉ và cho rằng lỗi đã được khắc phục.
Nếu kẻ tấn công sử dụng địa chỉ người nhận trong trường 'From:', các email sẽ được gửi và hiển thị trong hộp thư đến, có thể hiện lên cho người dùng. Bản sao trong thư mục Gửi sẽ có dòng chủ đề được in đậm. Nếu phát hiện các dấu hiệu này, người dùng cần cẩn thận hơn với các email nhận được.
Tải ứng dụng Gmail trên điện thoại thông minh tại đây.
- Tải Gmail cho Android
- Tải Gmail cho iPhone
Mục đích của kẻ tấn công
Tuy nhiên, mức độ nguy hiểm có thể cao hơn, như nhà phát triển giải thích, nếu kẻ tấn công nhắm mục tiêu vào các doanh nghiệp, họ có thể tận dụng cơ hội để phân phối các liên kết độc hại. Kỹ thuật, kẻ tấn công cũng có thể thêm địa chỉ email bất kỳ vào tiêu đề, giữa các dấu ngoặc kép để giả mạo người gửi.
Trong ví dụ trên, cho thấy tên người dùng được kết nối với một địa chỉ email tùy ý. Mặc dù không hoàn hảo, nhưng đủ để kẻ tấn công thực hiện nhiều thủ đoạn khác nhau, như tấn công qua email Business Email Compromise (BEC), khi kẻ tấn công có thể gửi thư dưới danh nghĩa từ các tổ chức cá nhân chịu trách nhiệm ủy quyền thanh toán hoặc chuyển tiền.
Lỗi cho phép giả mạo địa chỉ người nhận cũ
Ngoài vấn đề mà nhà phát triển phần mềm Cotton đã phát hiện, trước đó Gmail cũng gặp vấn đề về việc cho phép giả mạo địa chỉ người nhận.
Tính năng đã được sửa lỗi trên Gmail cho phiên bản web nhưng vẫn có thể bị khai thác trên ứng dụng cho Android sau gần 19 tháng kể từ khi Google nhận được báo cáo về lỗi này.
Vì dữ liệu trong hộp Soạn thư (Compose) không được kiểm tra một cách đầy đủ, có thể tạo ra 'mailto:' URI scheme với 2 địa chỉ email, trong đó một địa chỉ bao gồm tên người nhận và người gửi giống như một cách hợp lệ, như trong ví dụ dưới đây:
mailto:'[email protected]'
Người bị ảnh hưởng bởi chiêu trò này sẽ thấy địa chỉ hỗ trợ của PayPal xuất hiện trong trường 'To:' trên ứng dụng Gmail cho Android.
Trong báo cáo ban đầu sau khi tiết lộ bí mật cho Google, Eli Grey chia sẻ: 'để tận dụng lỗ hổng này, người dùng mục tiêu chỉ cần nhấp vào liên kết mailto: độc hại'.
Ngoài ra, ông cũng tạo và cung cấp bằng chứng minh họa để mô tả cách mà kẻ lừa đảo lấy cắp thông tin nhạy cảm bằng cách lừa nạn nhân tin rằng họ đang gửi thư đến một địa chỉ đáng tin cậy.
Để bảo vệ tài khoản Gmail của mình, chúng ta nên kích hoạt bảo mật 2 lớp bằng số điện thoại. Khi đăng nhập vào tài khoản Gmail trên thiết bị mới, bạn sẽ cần nhập mã số được gửi đến điện thoại đã đăng ký.
