พบบั๊กบน Gmail สามารถทำให้ส่งอีเมลโดยไม่ปรากฏชื่อผู้ส่งได้

Tim Cotten นักพัฒนาซอฟต์แวร์รายหนึ่งได้พบกับบั๊กบน Gmail ที่ใช้ผ่านหน้าเว็บซึ่งสามารถทำให้เขาส่งอีเมลแบบไม่ปรากฏชื่อผู้ส่งได้ อีกทั้งยังสังเกตได้ยากและอาจจะถูกนำไปใช้ทำ Phishing Email ได้

ไอเดียก็คือการ Tempering ตรง ‘From:’ ด้วย tag เช่น <object>, <Script> หรือ <img> ซึ่งผลให้หน้าอินเทอร์เฟสจะโชว์ค่าว่างในช่องที่อยู่ผู้ส่ง (ตามภาพด้านบน) ทั้งนี้ Cotten ได้ทดลองเพิ่มเติมคือกดเข้าไปดูในอีเมลหรือกระทั่งพยายามตอบกลับอีเมลแต่ก็ไม่ช่วยอะไร ดังนั้นนักวิจัยจึงคาดว่าไม่น่าจะเกี่ยวกับเรื่องของ Header แต่เป็นเรื่องของอินเทอร์เฟสบน Web Gmail ที่แสดงออกมาเพราะเมื่อเข้าไปใช้งาน Show Original Function ที่จะแสดงข้อมูล Raw (อ่านยาก) ถึงจะมองเห็นที่อยู่ผู้ส่งต่ออยู่ท้ายของ Tag ที่นักวิจัยทดลองใส่ไว้นั่นเอง

อย่างไรตามเป็นไปได้ยากที่ผู้ใช้งานธรรมดาทั่วไปจะพยายามทำถึงขนาดนี้จึงมีความกังวลว่าบั๊กดังกล่าวอาจถูกนำไปใช้เพื่อทำอีเมลหลอกลวงได้ ดังนั้นผู้ใช้งานอย่างเราก็ควรป้องกันตัวระดับแรกไว้ก่อนคือเมื่อพบอีเมลไม่น่าไว้ใจ ไม่ทราบที่มา อย่าคลิก!

ที่มา : https://www.bleepingcomputer.com/news/security/new-gmail-bug-allows-sending-messages-anonymously/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Guest Post] ฟอร์ติเน็ตเปิดตัวโซลูชัน Cloud native protection ปกป้องธุรกิจให้พ้นจากภัยคุกคามบนคลาวด์ พร้อมให้ใช้งานแล้วบน AWS

FortiCNP ช่วยลดความซับซ้อนในกระบวนการด้านความปลอดภัยบนคลาวด์ บริหารความเสี่ยงภัยได้เร็วขึ้น และให้การป้องกันภัยคุกคามได้เกือบเรียลไทม์ด้วยคุณสมบัติในการตรวจจับมัลแวร์ในระดับ Zero-Permission

พบช่องโหว่ Local Privilege Escalation บน Kaspersky VPN Client

พบช่องโหว่ Local Privilege Escalation ความรุนแรงระดับสูง บน Kaspersky VPN Client ผู้ที่ใช้งานควรรีบทำการอัปเดต