Android版Gmailアプリに偽装した送信元アドレスを簡単に表示させられるバグ

headless 曰く、　差出人の表示名に任意のメールアドレスを含むメールをAndroid版Gmailアプリで受信すると、そのメールアドレスが差出人のメールアドレスのように表示されてしまうバグが見つかっている（Yan Zhu氏のツイート、Motherboard、Softpedia、TechWorm）。

　このバグは差出人が「名前 ""メールアドレス"」のような形式で表示名を設定している場合に再現する。メール一覧では二重引用符を含む差出人名が表示され、メッセージを開いた場合の表示も通常とは若干異なる。そのため、注意深く見れば気付くと思われるが、実際の差出人のメールアドレスはまったく表示されない。なお、古いバージョン（Android 2.3.x）のGmailアプリでは再現しなかった。

　このような形式での表示名を設定できるかどうかはメールサービスによって異なるが、少なくともGmailのアカウント設定では可能となっている。一方、Outlook.comでは二重引用符を含む表示名を設定できないようだ。

　SMTPサーバーを使用してメールを送信すれば任意のメールアドレスを差出人のメールアドレスに偽装することは可能だが、Gmailなどでは別のメールアドレスを使用する場合はそのメールアドレスに送信される確認コードの入力が必要となる。

　しかし、この方法では確認を必要としないため、簡単に差出人を偽装できてしまうことになる。また、差出人のメールアドレスとして記載されているのは本物なので、DKIMやSPF、DMARCといった送信ドメイン認証技術による確認もすり抜けてしまう。

　バグを発見したセキュリティ研究者のYan Zhu氏は10月末にGoogleに報告しているが、Googleからはセキュリティ脆弱性ではないとの回答があったとのこと。Android版Gmailアプリは16日にも更新されているが、このバグは修正されていない。

　スラドのコメントを読む | セキュリティセクション | Google | セキュリティ | 通信 | バグ | IT | Android

　関連ストーリー：
Gmail、暗号化されていない経路で受信したメールに警告を表示へ 2015年11月17日
GmailがLinus Torvalds氏あてのメールを大量にスパムと誤判定 2015年07月19日
Gmail、メール送信直後の取り消し機能を正式版に 2015年06月24日
国内企業からのHTMLメールってどう思う？ 2015年03月02日