Un chercheur en sécurité a découvert un bug dans l’application Gmail mobile qui permet de masquer la véritable adresse de l’expéditeur en changeant le nom d’affichage. Le bug en question a été rendu public en octobre.
Le bug a été découvert par Yan Zhu, un chercheur indépendant en sécurité, qui a récemment publié sur Twitter sa découverte. Il s’agit en fait d’un bug (et non d’une faille de sécurité à part entière) du client Gmail Android qui permet de cacher sa véritable identité en changeant le nom affiché à la réception d’un mail. Mais cela n’est pas considéré comme une vulnérabilité, étant donné que la plupart des serveurs mails permettent de faire exactement la même chose. Du coup, Google a ignoré l’alerte.
A noter que le bug ne fonctionne que dans l’application Gmail pour Android, et il suffit de modifier son nom d’affichage dans les paramètres du compte pour exploiter ce dernier. La véritable adresse mail d’expédition sera alors non visible pour le destinataire.
Pour illustrer sa découverte, Yan Zhu a changé son nom d’affichage en Yan “”security@google.com” avec un guillemet supplémentaire :
« Les citations supplémentaires déclenchent un bug d’analyse dans l’application Gmail, ce qui rend la véritable adresse email invisible » explique Yan Zhu.
Le rapport de bug a été rejeté par Google car ce n’est pas considéré comme une vulnérabilité, même si la technique pourrait être éventuellement utilisée à des fins malveillantes pour du phishing par exemple. Mais il est vrai que que ce genre de “bug” a toujours existé dans la plupart des serveurs mails du marché…
Les commentaires sont fermés.