image

Gmail app staat spoofing toe

dinsdag 17 november 2015, 11:34 door Redactie, 5 reacties

De Gmail app voor Android die op veel smartphones al standaard geïnstalleerd is, stelt gebruikers in staat om spoof e-mails te verzenden. Google erkent de bevindingen, maar onderneemt vooralsnog geen stappen om het te verhelpen.

Beveiligingsonderzoeker Yan Zhu ontdekte dat het in de Gmail app mogelijk is om mailtjes vanaf een nep-afzendadres te versturen. De truc is heel eenvoudig en werkt alleen met de Gmail app voor Android.

Als bij de instellingen de displaynaam wordt gewijzigd, verwijdert de app zelf het echte mailadres waar vandaan het bericht wordt verzonden. Voor de ontvanger wordt het daarom lastig om via de headers de afzender te controleren. Ter demonstratie verzond Zhu een mail vanaf het account security@google.com.

Hoewel de gevonden bug niet heel ernstig is, kan het wel gemakkelijk worden misbruikt. Spoofing is een veelgebruikte techniek bij cybercriminelen om potentiële slachtoffers naar een bepaalde site te lokken.

Yan Zhu heeft haar bevindingen eind oktober bij Google gemeld, schrijft Motherboard, maar die ontkent dat het hier gaat om een beveiligingslek.

Reacties (5)
17-11-2015, 12:27 door N4ppy
Lol alsof criminelen gaan zitten klooien in de gmail app......
17-11-2015, 14:11 door Anoniem
Door N4ppy: Lol alsof criminelen gaan zitten klooien in de gmail app......

Met hun vingertjes niet maar wat als je een android emulator hebt en een script? Dan heb je het al geautomatiseerd..
18-11-2015, 00:57 door Anoniem
Waarschijnlijk kun je dit ook gewoon doen vanuit een desktop mailapplicatie (schat ik in).
18-11-2015, 20:16 door Briolet
Yep, ik spoof regelmatig mijn mail adres in mijn mail programma (Apple Mail). Ik kan in de settings zelfs een lijst met e-mail adressen opgeven die ik als afzender gebruik. In mijn geval spoof ik een e-mail adres van een van mijn andere accounts, maar dat zou elk willekeurig account kunnen zijn.
19-11-2015, 22:26 door Anoniem
Door Briolet: Yep, ik spoof regelmatig mijn mail adres in mijn mail programma (Apple Mail). Ik kan in de settings zelfs een lijst met e-mail adressen opgeven die ik als afzender gebruik. In mijn geval spoof ik een e-mail adres van een van mijn andere accounts, maar dat zou elk willekeurig account kunnen zijn.

Mag ik vragen waarom? Om te registreren bij pornosites?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.