Разработчик Тим Коттен (Tim Cotten) обнаружил любопытную ошибку в Gmail, связанную с тем, как почтовый клиент обрабатывает заголовок "From:". Воспользовавшись уязвимостью, злоумышленник может как минимум разместить произвольный адрес в поле отправителя и отправить сообщение якобы от имени сотрудника компании.
Коттен выявил ошибку, изучая случай в своей компании, когда одна из сотрудниц обнаружила в папке "Отправленные" несколько писем, которые не посылала. Копнув глубже, разработчик выяснил, что письма были отправлены с чужого аккаунта и автоматически были помещены в папку "Отправленные" служащей. Как оказалось, в поле "From:" содержалось два адреса – отправителя и получателя. Судя по всему, пояснил Коттен, при обработке поля "From:", содержащего адрес получателя, Gmail сортирует письмо как отправленное, несмотря на то, что сообщение явно пришло с другого адреса.
Специалист проинформировал Google о проблеме. Компания никак не отреагировала на сообщение, однако при следующей попытке отправить письмо с несколькими адресами сервер Gmail вернул сообщение об ошибке. Коттен слегка изменил структуру заголовка и обнаружил, что проблема по-прежнему присутствует. По его словам, атакующий может использовать данную возможность для внедрения вредоносных ссылок. Более того, отметил разработчик, в заголовок можно добавить любой электронный адрес, что позволит скрыть настоящего отправителя.
Публикация информации об ошибке повлекла бурное обсуждение, пролившее свет на другую уязвимость в Gmail, позволяющую подменить электронный адрес получателя. Проблема была исправлена в web-версии Gmail, но спустя 19 месяцев все еще остается актуальной в Android-версии клиента.