Mới đây nhà phát triển phần mềm Tim Cotton đã phát hiện ra sự cố tại công ty của ông, theo đó thư mục Sent (đã gửi) trong tạo tài khoản gmail của một nhân viên nữ tại công ty không nhớ các thư đã gửi.
Lỗi Gmail cho phép thay đổi cấu trúc trường "From:"
Trong quá trình tìm hiểu nguyên nhân lỗi Gmail này, nhà phát triển phần mềm phát hiện ra rằng các email không được gửi từ tài khoản của nữ nhân viên đó mà được gửi từ một tài khoản bên ngoài tự động.
Mọi thứ trở nên rõ ràng hơn khi quan sát cấu trúc trường "From:". Thường thì cấu trúc trường này bao gồm địa chỉ của người gửi cùng địa chỉ người nhận.
Tuy nhiên theo nhà phát triển có vẻ như cấu trúc trường "From:" đã được cấu hình chỉ bao gồm địa chỉ người nhận cùng các nội dung văn bản khác, ứng dụng Gmail đọc trường From để lọc / sắp xếp các thư đến và giả mạo các thư đến như thể người nhận đã gửi.
Cotton đã liên lạc và báo cáo với Google về vấn đề này nhưng chưa nhận được câu trả lời. Nhà phát triển cũng cho biết trong một thử nghiệm khác mà ông tiến hành, sử dụng cấu trúc "From:" hơi khác một chút và phát hiện ra rằng vấn đề vẫn tồn tại, máy chủ Gmail từ chối phân phối trên tài khoản có nhiều địa chỉ và cho rằng lỗi đã được khắc phục.
Nếu kẻ tấn công sử dụng địa chỉ người nhận trong trường "From:", trước hết các email sẽ được gửi và tiếp cận hộp thư đến, các thư này có thể hiển thị cho người dùng. Tiếp theo, bản sao trong thư mục Sent hiển thị với dòng chủ đề được in đậm. Nếu phát hiện có các dấu hiệu này, người dùng nên thận trọng hơn với các thư đến.
Tải ứng dụng Gmail trên smartphone tại đây.
- Download Gmail cho Android
- Download Gmail cho iPhone
Mục đích của kẻ tấn công
Tuy nhiên mức độ rủi ro cũng có thể cao hơn, như nhà phát triển giải thích, nếu kẻ tấn công nhắm mục đích vào các doanh nghiệp, họ có thể nắm bắt thời cơ để phân phối các link độc hại. Ngoài ra về mặt kỹ thuật, kẻ tấn công có thể thêm địa chỉ email bất kỳ vào tiêu đề, giữa các dấu ngoặc kép để giả mạo người gửi.
Trong ví dụ trên cho thấy tên người dùng được liên kết với một địa chỉ email tùy ý. Mặc dù không được hoàn hảo cho lắm, nhưng cũng đủ để kẻ tấn công có thể thực hiện một loạt các thủ thuật khác nhau, như tấn công qua email Business Email Compromise (BEC), vì kẻ tấn công có thể gửi các thư dưới dạng từ các tổ chức cá nhân chịu trách nhiệm ủy quyền thanh toán hoặc chuyển tiền.
Lỗi cho phép giả mạo địa chỉ người nhận cũ
Ngoài lỗi mà nhà phát triển phần mềm Cotton phát hiện, trước đó Gmail cũng dính lỗi cho phép giả mạo địa chỉ người nhận.
Sự cố đã được khắc phục trên Gmail cho nền tảng web nhưng vẫn có thể khai thác trên ứng dụng cho Android sau gần 19 tháng mà Google nhận được báo cáo lỗi.
Vì dữ liệu trong hộp Soạn thư (Compose) không được kiểm tra đầy đủ , có thể tạo "mailto:" URI scheme với 2 địa chỉ email, một địa chỉ bao gồm tên người nhận và người gửi giống y như hợp lệ, như trong ví dụ dưới đây:
mailto:"support@paypal.com"
Nạn nhân của thủ thuật này sẽ thấy địa chỉ hỗ trợ của PayPal trong trường "To:" trong ứng dụng Gmail cho Android .
Trong báo cáo ban đầu sau khi tiết lộ bí mật cho Google, Eli Grey chia sẻ: "để khai thác lỗ hổng này, người dùng mục tiêu chỉ cần click vào link mailto: độc hại".
Ngoài ra ông cũng tạo và cung cấp proof of concept để minh họa cách scammer đánh cắp các thông tin nhạy cảm bằng cách đánh lừa nạn nhân để họ tin rằng mình đang gửi thư đến một địa chỉ đáng tin cậy.
Để tự bảo vệ cho tài khoản Gmail của mình, chúng ta nên cài bảo mật 2 lớp gmail bằng số điện thoại, đăng ký và kích hoạt bảo mật 2 lớp gmail, khi đăng nhập tài khoản gmail tại thiết bị mới, sẽ được yêu cầu nhập mã số trên điện thoại sử dụng sim mà bạn đã đăng lý.