В официальном приложении Gmail для устройств на базе Android исследователем Ян Чжу была обнаружена уязвимость, позволяющая злоумышленнику изменить имя адресанта электронного письма.
Чтобы провести спуфинг-атаку на электронный почтовый ящик необходим SMTP-сервер. Однако Ян Чжу обнаружила брешь в почтовом клиенте, используя которую можно менять в настройках аккаунта имя адресанта так, чтобы адресат не мог узнать, кто на самом деле отправил послание. Исследователем была осуществлена показательная атака, в ходе которой было отправлено сообщение, озаглавленное как yan “”security@google.com”.
По словам Ян Чжу, с помощью дополнительных кавычек в строке с именем адресанта в приложении Gmail можно спровоцировать ошибку синтаксического анализа, вследствие чего настоящий электронный адрес становится видимым. Имя адресанта можно было подменить всегда, но теперь подобная корреспонденция обычно попадает в спам-фильтры или отображается с предупреждением от Gmail. Уязвимость, обнаруженная Ян Чжу, дает злоумышленнику возможность обхода этих мер безопасности.
В конце октября Ян Чжу проинформировала Google об уязвимости, но в компании заявили, что подмена в электронном письме имени адресанта не является проблемой безопасности.