พบบั๊กบน Gmail สามารถทำให้ส่งอีเมลโดยไม่ปรากฏชื่อผู้ส่งได้

Tim Cotten นักพัฒนาซอฟต์แวร์รายหนึ่งได้พบกับบั๊กบน Gmail ที่ใช้ผ่านหน้าเว็บซึ่งสามารถทำให้เขาส่งอีเมลแบบไม่ปรากฏชื่อผู้ส่งได้ อีกทั้งยังสังเกตได้ยากและอาจจะถูกนำไปใช้ทำ Phishing Email ได้

ไอเดียก็คือการ Tempering ตรง ‘From:’ ด้วย tag เช่น <object>, <Script> หรือ <img> ซึ่งผลให้หน้าอินเทอร์เฟสจะโชว์ค่าว่างในช่องที่อยู่ผู้ส่ง (ตามภาพด้านบน) ทั้งนี้ Cotten ได้ทดลองเพิ่มเติมคือกดเข้าไปดูในอีเมลหรือกระทั่งพยายามตอบกลับอีเมลแต่ก็ไม่ช่วยอะไร ดังนั้นนักวิจัยจึงคาดว่าไม่น่าจะเกี่ยวกับเรื่องของ Header แต่เป็นเรื่องของอินเทอร์เฟสบน Web Gmail ที่แสดงออกมาเพราะเมื่อเข้าไปใช้งาน Show Original Function ที่จะแสดงข้อมูล Raw (อ่านยาก) ถึงจะมองเห็นที่อยู่ผู้ส่งต่ออยู่ท้ายของ Tag ที่นักวิจัยทดลองใส่ไว้นั่นเอง

อย่างไรตามเป็นไปได้ยากที่ผู้ใช้งานธรรมดาทั่วไปจะพยายามทำถึงขนาดนี้จึงมีความกังวลว่าบั๊กดังกล่าวอาจถูกนำไปใช้เพื่อทำอีเมลหลอกลวงได้ ดังนั้นผู้ใช้งานอย่างเราก็ควรป้องกันตัวระดับแรกไว้ก่อนคือเมื่อพบอีเมลไม่น่าไว้ใจ ไม่ทราบที่มา อย่าคลิก!

ที่มา : https://www.bleepingcomputer.com/news/security/new-gmail-bug-allows-sending-messages-anonymously/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

พบมัลแวร์บนแอนดรอยด์ลอบขโมยโค้ด 2FA จาก Google Authenticator

ผู้เชี่ยวชาญจาก ThreatFabric ได้ออกเตือนว่าเริ่มพบ Banking Trojan ที่มีความสามารถในการขโมยโค้ด 2FA ที่ได้จาก Google Authenticator บนแอนดรอยด์

Zyxel ออกแพตช์อุดช่องโหว่ Zero-day ให้ NAS และ Firewall เตือนผู้ใช้เร่งอัปเดต

เมื่อไม่มีกี่วันที่ผ่านมาทาง Zyxel ได้ออกแพตช์ช่องโหว่ Zero-day ให้ผลิตภัณฑ์ NAS หลายรุ่น ต่อมายังส่งผลกระทบกับ Firewall อีกถึงหลายสิบรุ่นเช่นกัน ด้วยเหตุนี้จึงแนะนำให้อัปเดต