Μια ερευνήτρια ασφάλειας ανακάλυψε μια ενδιαφέρουσα ευπάθεια στην εφαρμογή Gmail για συσκευές Android, που επιτρέπει σε οποιονδήποτε να στείλει e-mail που μοιάζει να έχει αποσταλεί από κάποιον άλλο. 
Η συγκεκριμένη συμπεριφορά χρησιμοποιείται από τους Phishers για να παραπλανήσουν τα θύματά τους. Ονομάζεται E-mail Spoofing και συνήθως πλαστογραφείται μια κεφαλίδα ηλεκτρονικού ταχυδρομείου, έτσι ώστε να φαίνεται ότι προέρχεται από κάποιον άλλο.
Η ανεξάρτητη ερευνήτρια ασφαλείας, Yan Zhu, ανακάλυψε το σφάλμα στην επίσημη εφαρμογή Gmail για συσκευές Android.
Το σφάλμα της επέτρεψε να αποκρύψει την πραγματική της διεύθυνση και να αλλάξει το εμφανιζόμενο όνομα της από τις ρυθμίσεις λογαριασμού. Έτσι ο δέκτης δεν μπορεί να γνωρίζει τον πραγματικό αποστολέα.
Πώς να στείλετε Spoofing Emails μέσω του Gmail για Android;
Για να αποδείξει τη διαπίστωσή της, η Zhu έστειλε ένα email σε κάποιον, αλλάζοντας το όνομά της στην οθόνη προσθέτοντας επιπλέον εισαγωγικά “”[email protected]”. Μπορείτε να δείτε παρακάτω το screenshot που δημοσιεύτηκε από την Zhu στο Twitter.
“Τα επιπλέον εισαγωγικά [στο εμφανιζόμενο όνομα] προκαλούν ένα σφάλμα ανάλυσης στην εφαρμογή Gmail, το οποίο κάνει το πραγματικό e-mail αόρατο,” δήλωσε η Zhu στο Motherboard.
Google: “Το Bug δεν είναι ευπάθεια ασφαλείας”
Η Zhu ανακοίνωσε το κενό στην ομάδα ασφαλείας της Google, κατά το τέλος Οκτωβρίου, αλλά η ομάδα απέρριψε την αναφορά της, αναφέροντας ότι το σφάλμα δεν είναι ένα θέμα ευπάθειας στην ασφάλεια.
“Ευχαριστούμε για τη σημείωσή σας, δεν θεωρούμε το bug θέμα ευπάθειας στην ασφάλεια,” δήλωσε ένα μέλος της ομάδας ασφαλείας του Google στη Zhu.
“Ένα bug του Gmail στο Android που σας επιτρέπει την αποστολή e-mail με πλαστή διεύθυνση δεν είναι ένα θέμα ασφάλειας για την Google. ¯ \ _ (ツ) _ / ¯”. έγραψε η Zhu.
filed a gmail android bug that lets me fake sender email address. they said it's not a security issue. ¯_(ツ)_/¯
— yan (@bcrypt) November 11, 2015
Και η εικόνα που δημοσίευσε η ερευνήτρια:
