ثغرة في تطبيق Gmail الخاص بأجهزة الأندرويد تسمح للقراصنة بخداع المستخدمين
احث أمني قام باكتشاف ثغرة أمنية في تطبيق Gmail الخاص بنظام تشغيل “أندرويد”، هذه الثغرة تسمح بتزييف مصدر الرسائل، مما يخلق بيئة مناسبة لهجمات التصيد.
هذه العملية تسمى بالـ E-mail Spoofing،
تزوير عنوان البريد الإلكتروني، وذلك حتى يبدو أن الرسالة مرسلة من عنوان
مختلف تماماً عن العنوان الحقيقي الذي تم إرسالها منه.
– سيرفر SMTP لإرسال الرسائل.
– برنامج رسائل.
قامت باحثة أمنية تسمى Yan Zhu، باكتشاف
ثغرة مماثلة في التطبيق الرسمي الخاص بـ Gamil للأندرويد، وتمكنت الباحثة
من خلال استغلال هذه الثغرة من إخفاء عنوان بريدها الحقيقي وتغيير اسمها في
إعدادات الحساب، مما يصعب معه على متلقي الرسالة تحديد هوية المرسل
الحقيقي.
وقامت Zhu بإثبات اكتشافها وذلك بإرسال
رسالة لبريد معين وقامت بتغيير عرض اسمها إلى yan “”security@google.com”
كما يظهر في الصورة التالية:ـ
بمجرد استلام الرسالة، فإنه يمكن خداع المتلقي لاعتقاد أن الرسالة قد اٌُرسلت من الفريق الأمني الخاص بجوجل، في حين أنها ليست كذلك.
وقامت الباحث بإبلاغ الثغرة للفريق الأمني
الخاص بجوجل في نهاية أكتوبر الماضي، إلا أن شركة جوجل لم توافق على
التقرير، وردت بأن هذه ليست ثغرة.
ليست هناك تعليقات:
إرسال تعليق