Gmail漏洞可任意修改发件人地址

研究人员发现Gmail处理From:结构的方式存在漏洞，导致header可以在sender域放置任意的Email地址。该漏洞可能会造成高级别的滥用，目前至少可以实现增加收件人地址并使对发送的邮件和内容产生疑惑。

Sender域

软件开发工程师Tim Cotton最近调查分析了一起该公司发生的意外事件：雇员发现其Gmail账号中有一些她没有发送过的消息。

工程师发现这些邮件并不是从其邮箱账号发送的，是从一个外部账号接收到的，然后自动加入到她的发件箱中了。

原因就是From:域结构存在一些异常，其中即包含发件人地址又包含收件人地址。

因为From:域中含有收件人地址，因此Gmail APP在读取From域过滤时，会将对消息进行分类，这样看起来好像就是收件人发送的。

Cotton联系了Google，但是没有收到回应。开发者进行了一个小测试，证明该漏洞应该是被修复了。BleepingComputer研究人员修改了From结构进行测试，发现该问题仍然存在。

如果攻击者在From:中使用接收者的地址，用户可以发现一个问题的线索：

·首先，邮件进入收件箱，用户可以看到这些消息；

· 第二，发件箱的副本主题是加粗的。

· 第三，细心的用户也可以看到From域存在问题。

攻击者福利

该漏洞的风险远不止于此。Cotton解释说，对企业发起攻击的攻击者可以抓住这个机会来植入恶意连接。而且在header, quotes等处添加邮件地址，欺骗发件人在技术上也是可行的。

在POC邮件中，他证明了收件人会看到一个不同的名字，而真正的发件人是恶意攻击者。

这个例子说明了name可以与任意的邮件地址进行关联。虽然这种欺骗还不完美，但是对与一般攻击来说可能就够了。而该bug对运行BEC垃圾邮件的攻击者来说简直就是天上掉馅饼啊，因为攻击者可以以企业内部员工的身份发送邮件，增加攻击的成功率。

影响gmail的Old bug

Cotton公布该bug引发了用户对Gmail漏洞的讨论，然后发现还有一个漏洞也可以用来伪造收件人的地址。该漏洞虽然在Gmail web app中进行了修复，但是在报告给Google 19个月后还可以利用该漏洞。

因为对加入发件箱的数据没有进行充分检查，创建一个含有两个email地址的mailto: URI方案是完全有可能的。其中一个是收件人的姓名，另一个是真实的目的地址。如下所示：

mailto:”<a href="/cdn-cgi/l/email-protection" data-cfemail="cdbeb8bdbda2bfb98dbdacb4bdaca1e3aea2a0">[email protected]</a>”<<a href="/cdn-cgi/l/email-protection" data-cfemail="4e3d2d2f230e3e26273d262b3c602b362f233e222b">[email protected]</a>>

被骗的受害者会在Gmail安卓版的To: 域看到PayPal的支持邮箱地址，而真实地址是垃圾邮件发送者。

为利用该漏洞，目标用户只需要点击恶意mailto:链接就可以。下面的POC链接证明了垃圾邮件发送者如何欺骗受害者使其相信他们发送了消息给可信的地址，然后窃取敏感信息。

POC链接：https://dangerous.link/gmail-and-inbox-spoofing-on-android