باگ جدید جیمیل منجر به ارسال پیام به صورت ناشناس میشود

باگ جدید جیمیل منجر به ارسال پیام به صورت ناشناس میشود

مهندس نرم افزار، تیم کاتن متوجه شده است که جیمیل در نشان دادن مبدا پیغام به مشکل برمیخورند.

باز کردن ایمیل نیز کمکی نمیکند. چرا که از آنجایی که آدرس ارسال کننده همچنان پنهان میماند و هیچ گونه اطلاعاتی را نمایش نمیدهد. یک گزینه که معمولا جزییات و قسمت های مختلفی را نشان میدهد ( همچون اضافه کردن مخاطب، ارسال ایمیل، برنامه ریزی وقایع، ارسال پیام های hangouts یا شروع یک تماس تصویری ) نیز گاها دچار مشکل میشود.

سعی در پاسخ یک پیام نیز به همین مشکل باقی است. کاتن نیز پس از یافته های جدید خودش طی یک پست بلاگ عنوان کرد که جیمیل نمیداند که در رابطه با این موضوع چه کاری را انجام میدهد.

پس از کاوش بیشتر در این مسئله، توسعه دهنده متوجه شد که مشکل از هِدر نرم افزار نیست بلکه از اینترفیس نرم افزار میباشد.

استفاده از گزینه ی show original که به کاربران با تجربه ی بیشتر این اجازه را میدهد که یک ایمیل را ردیابی کنند ولی عملکرد اصلی آن همچنان در وضعیت نمایش کاربر دوستانه نیز غیرقابل دسترسی میباشد.

با توجه به اطلاعات خام، گرچه آدرس خام در پایان تگ img را نشان میدهد و در آنجا غلط املایی بسیار واضح است اما کارشناس امنیتی آقای کاتن به راحتی با تجربه ی خودش کد های اشتباه را تشخیص میدهد.

متاسفانه، بسیار دور از دسترس است که یک کاربر معمولی بتواند به این قسمت ها دسترسی داشته باشد و تشخیص دهد این پیغام های ناشناس از کجا میرسد. بنا بر این مسائل، برای این کاربران ریسک کلاهبرداری بسیار بالا میباشد.

اخطار های جعلی از سوی شرکت خدمات دهنده ایمیل

به گفته ی برنامه نویس: " بدون اطلاعات ارسال کننده این مسئله بسیار منطقی است و یک کاربر با دانش و آگاهی کافی نیز به راحتی میتواند حساب خود را به خطر بندازد ".

در واقع، یک پیام بدون ارسال کننده به راحتی میتواند در غالب اعلانیه ی سیستم رد شود که نمیبایست به آن بی توجهی شود. درست مثل مسئله ی اخطار موبایل از سوی اپراتور. برای اثبات این مسئله، کاتن یک ایمیل با عنوان مشخصی را ساخته بود که قصد داشت یک پیام مشخص را از سوی گوگل برساند:

این نتایج میتواند به عنوان یک اخطار اصلی از سوی پشتیبانی ایمیل تلقی شود و احتمالا بسیاری از کاربران را فریب دهد. مگر اینکه این کاربران قابلیت 2FA را فعال کرده باشند. در غیر این صورت احتمال از دست دادن اطلاعات حساب گوگل بسیار بالا است.

برخی از باگ های معمول

این دومین بار است که کاتن یک باگ مربوط به جیمیل را در کمتر از یک هفته برملا میکند. کار های اخیر وی مبنی بر اکتشافات قبلی وی بوده است که ثابت میکند که یک فرم هِدر ناهنجار چگونه باعث میشود که در فیلد خالی ارسال به صورت خودسرانه آدرسی را قرار دهد.

در حال حاضر، حداقل سه گلیچ مربوط به UX وجود دارد که بر ایمیل تاثیرگذار است و میتواند برای کلاهبرداری های سطح بالا سو استفاده شود.

طبق اظهارات برنامه نویس، یک راهکار که گوگل میتواند پیاده کند تا از جعل این فیلد جلوگیری کند این است تا به صورت درست سربرگ های مربوطه را بررسی کنید و از ارتباط با هرگونه ساختار غیرمعمول در فیلد های ارسال و دریافت جلوگیری کند. یک روش دیگر پیشنهاد شده توسط کاتن پروژه ی جوران گریف میباشد که میتواند ارور ها را زمانی که مشخصات ایمیل تعیین نشده اند شناسایی کند.

برنامه نویسان میگویند که وی به گوگل دو یافته ی خود را گزارش داده است ولی چیزی از کمپانی نشنیده است.

منبع: www.bleepingcomputer.com