Android版Gmailアプリに偽装した送信元アドレスを簡単に表示させられるバグ

2015年11月19日 13:09

headless 曰く、 差出人の表示名に任意のメールアドレスを含むメールをAndroid版Gmailアプリで受信すると、そのメールアドレスが差出人のメールアドレスのように表示されてしまうバグが見つかっている(Yan Zhu氏のツイートMotherboardSoftpediaTechWorm)。

 このバグは差出人が「名前 ""メールアドレス"」のような形式で表示名を設定している場合に再現する。メール一覧では二重引用符を含む差出人名が表示され、メッセージを開いた場合の表示も通常とは若干異なる。そのため、注意深く見れば気付くと思われるが、実際の差出人のメールアドレスはまったく表示されない。なお、古いバージョン(Android 2.3.x)のGmailアプリでは再現しなかった。

 このような形式での表示名を設定できるかどうかはメールサービスによって異なるが、少なくともGmailのアカウント設定では可能となっている。一方、Outlook.comでは二重引用符を含む表示名を設定できないようだ。

 SMTPサーバーを使用してメールを送信すれば任意のメールアドレスを差出人のメールアドレスに偽装することは可能だが、Gmailなどでは別のメールアドレスを使用する場合はそのメールアドレスに送信される確認コードの入力が必要となる。

 しかし、この方法では確認を必要としないため、簡単に差出人を偽装できてしまうことになる。また、差出人のメールアドレスとして記載されているのは本物なので、DKIMやSPF、DMARCといった送信ドメイン認証技術による確認もすり抜けてしまう。

 バグを発見したセキュリティ研究者のYan Zhu氏は10月末にGoogleに報告しているが、Googleからはセキュリティ脆弱性ではないとの回答があったとのこと。Android版Gmailアプリは16日にも更新されているが、このバグは修正されていない。

 スラドのコメントを読む | セキュリティセクション | Google | セキュリティ | 通信 | バグ | IT | Android

 関連ストーリー: Gmail、暗号化されていない経路で受信したメールに警告を表示へ 2015年11月17日 GmailがLinus Torvalds氏あてのメールを大量にスパムと誤判定 2015年07月19日 Gmail、メール送信直後の取り消し機能を正式版に 2015年06月24日 国内企業からのHTMLメールってどう思う? 2015年03月02日

関連記事

最新記事