باحث أمني قام باكتشاف ثغرة أمنية في تطبيق Gmail الخاص بنظام تشغيل “أندرويد”، هذه الثغرة تسمح بتزييف مصدر الرسائل، مما يخلق بيئة مناسبة لهجمات التصيد.

هذه العملية تسمى بالـ E-mail Spoofing، تزوير عنوان البريد الإلكتروني، وذلك حتى يبدو أن الرسالة مرسلة من عنوان مختلف تماماً عن العنوان الحقيقي الذي تم إرسالها منه.

وللقيام بمثل هذا النوع من الهجوم فإن الهكر بحاجة إلى الآتي:ـ

– سيرفر SMTP لإرسال الرسائل.
– برنامج رسائل.

قامت باحثة أمنية تسمى Yan Zhu، باكتشاف ثغرة مماثلة في التطبيق الرسمي الخاص بـ Gamil للأندرويد، وتمكنت الباحثة من خلال استغلال هذه الثغرة من إخفاء عنوان بريدها الحقيقي وتغيير اسمها في إعدادات الحساب، مما يصعب معه على متلقي الرسالة تحديد هوية المرسل الحقيقي.

وقامت Zhu بإثبات اكتشافها وذلك بإرسال رسالة لبريد معين وقامت بتغيير عرض اسمها إلى yan “”security@google.com” كما يظهر في الصورة التالية:ـ

1447444003426424

بمجرد استلام الرسالة، فإنه يمكن خداع المتلقي لاعتقاد أن الرسالة قد اٌُرسلت من الفريق الأمني الخاص بجوجل، في حين أنها ليست كذلك.

وقامت الباحث بإبلاغ الثغرة للفريق الأمني الخاص بجوجل في نهاية أكتوبر الماضي، إلا أن شركة جوجل لم توافق على التقرير، وردت بأن هذه ليست ثغرة.