jueves, 22 de noviembre de 2018

Gmail Glitch permite mensajes anónimos en ataques de phishing


Se ha descubierto un error de Gmail
que permite a un pirata informático manipular el encabezado "desde" en un correo electrónico y en última instancia dejar el remitente en blanco, lo que hace que el correo electrónico sea anónimo. El truco podría ser utilizado para ataques de phishing que pretenden ser advertencias oficiales o mensajes del sistema.

El desarrollador de software Tim Cotten, que la semana pasada descubrió la falla en Gmail, dijo en una publicación el viernes  que una vulnerabilidad en el UX de Gmail permite que se falsifique el campo "De" de modo que correos electrónicos "fantasmas" pueden ser enviados posteriormente.

Para lograr el truco, Cotten dijo que introdujo el correo electrónico del destinatario en el encabezado "desde" y lo emparejó con una etiqueta grande y arbitraria, como <object>, <script> ó <img>.

"Esto es un derivado del  error anterior que puede servir como un vector de phishing", dijo Cotten a Threatpost. "El remitente del correo electrónico se queda en blanco después de poner etiquetas con formato incorrecto".

El resultado fue un correo electrónico que carece de un remitente. Incluso cuando Cotten presionó "responder" en el mensaje, no apareció el nombre del remitente en el mensaje de respuesta.

Incluso bajo el parámetro "Mostrar original" para el mensaje de correo electrónico (al que se puede acceder a través de la etiqueta desplegable en el correo electrónico enviado) aún no podía ver el nombre de un remitente en el campo "de".

"Fue la combinación del alias citado, una palabra precedente, espacio y la etiqueta img mal codificada (tenga en cuenta la falta de ortografía)", dijo Cotton. "Como puede ver, el encabezado en sí fue preservado y analizado por Google, pero la UX simplemente no puede manejarlo".

La falla de Gmail puede parecer inofensiva, pero podría ser fácilmente aprovechada por los  hackers delincuentes que elaboran los mensajes que pretenden ser advertencias oficiales o mensajes del sistema, que a menudo vienen sin el título "de" adjunto a ellos.

"Sin la información del remitente, esto parece completamente legítimo, y un usuario bien formado podría fácilmente ser engañado para comprometer su propia cuenta", dijo Cotten.

Cotten ha reportado a Google tanto este error como su error de Gmail previamente descubierto: la compañía no ha respondido ni ha solucionado ninguno de los errores.

No hay comentarios:

Publicar un comentario