Inicio / Para Expertos / Este fallo de Gmail permite cambiar el remitente de cualquier correo

Este fallo de Gmail permite cambiar el remitente de cualquier correo

Un error en la forma en que Gmail maneja la estructura del encabezado ‘De:’ podría permitir colocar una dirección de correo electrónico arbitraria en el campo del remitente.

Si bien este problema abre la puerta al abuso de alto nivel, al menos es posible agregar la dirección del destinatario y confundirlo con respecto a los correos electrónicos que enviaron y su contenido.

Tocando el campo del remitente

El desarrollador de software Tim Cotten investigó recientemente un incidente en su compañía cuando un empleado encontró en la carpeta Enviados de su cuenta de Gmail algunos mensajes que no recordaba haber enviado.

En una mirada más cercana, el desarrollador descubrió que “los correos electrónicos no se habían enviado desde su cuenta, sino que se recibieron de una cuenta externa y luego se archivaron en su carpeta Enviados automáticamente”.

La causa se hizo evidente al mirar el encabezado ‘De:’, que mostraba una anomalía en su estructura: contenía la dirección del remitente junto con la del destinatario.

“Parece que al estructurar el campo De: para contener la dirección del destinatario junto con otro texto, la aplicación GMail lee el campo De para filtrar / propósitos de organización de la bandeja de entrada” y ordena el mensaje como si fuera enviado por el destinatario, explica el desarrollador .

Cotten contactó a Google sobre esto, pero no recibió una respuesta. Ayer, el desarrollador comprobó si el problema aún estaba presente y el servidor de Gmail rechazó la entrega debido a que tenía varias direcciones y pensó que estaba solucionado.

En otra prueba que hizo hoy para BleepingComputer, utilizó una estructura ‘From:’ ligeramente modificada y descubrió que el problema parece haber persistido.

Si un atacante usa la dirección del destinatario en el encabezado ‘De:’, hay algunas sugerencias que podrían alertar al usuario de que algo no está bien. En primer lugar, los correos electrónicos llegan a la carpeta Bandeja de entrada, que es lo suficientemente visible para alguien que vigila de cerca sus mensajes. Segundo, la copia en la carpeta Enviado aparece con una línea de asunto en negrita. Además de esto, los usuarios más vigilantes pueden detectar la rareza en el campo ‘De’.

Un favor para los estafadores.

En una demostración por correo electrónico, mostró cómo un nombre diferente es visible para el destinatario, mientras que el verdadero remitente podría ser una fuente maliciosa.

El ejemplo anterior muestra un nombre que está asociado a una dirección arbitraria. Aunque la suplantación de identidad no es impecable, puede ser suficiente para hacer el truco. Este tipo de error es oro para los estafadores que realizan estafas de Compromiso de Correo Electrónico Empresarial (BEC) porque podrían enviar mensajes como si fueran de individuos de la empresa responsables de autorizar los pagos o la transferencia de dinero.

Error antiguo permite falsificar la dirección del destinatario

La divulgación pública de Cotten del error alimentó las discusiones sobre errores en Gmail, lo que llamó la atención sobre otro error que permite falsificar la dirección del destinatario.

El problema se solucionó en la aplicación web de Gmail, pero aún es explotable en Android casi 19 meses después de haber sido reportado a Google.

 

 

Base de datos con 11 millones de registros de correo electrónico expuestos

 

 

Debido a que los datos en el cuadro Redactar no están marcados de manera suficiente, es posible crear un esquema de URI ‘mailto:’ con dos direcciones de correo electrónico; uno se presenta como el nombre del destinatario y el otro es la dirección de destino real, como en el siguiente ejemplo
mailto:​”support@paypal.com”​<scam@phisher.example>

Una víctima que se enamora de este truco vería la dirección de soporte de PayPal en el campo Para: de Gmail para Android cuando el verdadero destino sea la bandeja de entrada del estafador.

“Para explotar esta vulnerabilidad, el usuario objetivo solo necesita hacer clic en un correo malicioso para enlazar”, escribió Eli Gray en el informe inicial , luego de una divulgación privada a Google.

También creó una prueba de concepto  que demuestra cómo un estafador puede robar información confidencial engañando a la víctima para que crea que está enviando un mensaje a una dirección confiable.

Comenta y comparte con nosotros en nuestra red social, Facebook .

Fuente: bleepingcomputer

Vea También

Mac CryptoCurrency Price Tracker Atrapado al instalar puertas traseras

Un troyano que se hace pasar por un teletipo de criptomoneda macOS llamado CoinTicker está …

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.