Ups'er i Gmail-validering: Sikkerhedsforsker sender mails som google@gmail.com

Illustration: Virrage Images/Bigstock
En uhensigtsmæssighed i Googles cloud-mail har gjort det lige til at sende mails fra diverse Gmail-adresser.

Den uafhængige sikkerhedsforsker Ahmed Mehtab er faldet over en uhensigtsmæssighed i Gmail, der relaterer sig til en funktion, som gør det muligt at sende mails via andre afsenderadresser end den, brugeren lige er logget ind som.

I et blogindlæg fortæller han nærmere om uhensigtsmæssigheden, der skulle være fikset nu. Ifølge Ahmed Mehtab kan det via teknikken lade sig gøre at sende fra Google-smtp-domæner som @gmail.com, @googlemail.com og @googleemail.com

Konkret drejer det sig om det, der i den engelske version hedder 'Send Mail As' altså send mail som. Her er det muligt at tilføje andre mailadresser til en Gmail-konto, som så kan vælges som afsenderadressen, når en mail sendes afsted.

For at det ikke skal være muligt, bare at sende mails som ser ud til at komme fra alle mulige mailadresser, er der indbygget en slags sikkerhedsfunktion i Gmail.

Den går ud på, at hvis brugeren ønsker at sende mails fra en anden mailadresse, skal han eller hun først verificeres som værende den rette indehaver af den nye afsender-mailadressen.

Det foregår ved at sende en mail med en kode og et aktiveringslink til den mailadresse, som brugeren ønsker at tilføje til sin Gmail-konto.

Et problem

Der har dog vist sig et problem i den sammenhæng.

Hvis den adresse som Gmail-systemet forsøger at sende til, af en eller anden grund ikke kan modtage mailen, så bliver brugeren, der har forsøgt at tilføje mail-adressen via en mail adviseret om, at modtager-adressen ikke fungerer.

Der kan være mange grunde til, at modtager-adressen ikke fungerer, bemærker Ahmed Mehtab i sit blogindlæg. Måske er SMTP-serveren hos modtageren offline, måske findes mailadressen slet ikke og så videre.

Hvorom alting er, så indeholder adviseringsmailen om, at noget er galt i forhold til at aflevere den bekræftende mail med aktiveringskoden og -linket også aktiveringskoden og -linket.

Disse oplysninger kan brugeren, der har forsøgt at tilføje en ekstra afsender-mailadresse til sin Gmail så bruge til at verificere en mailaddresse i Gmail, selvom brugeren ikke har kontrol over adressen. Forudsætningen er dog, at verificeringens-mailen ikke kan leveres.

I sit blogindlæg kommer Ahmed Mehtab også ind på, at tilsvarende skulle have været muligt i forhold til automatisk videresendelse af mails i Gmail, som anvender en lignende verifikations-mekanisme.
På Reddit diskuterer et par brugere, hvor alvorlig uhensigtsmæssigheden er.

Ahmed Mehtab fortæller, han i øvrigt ikke har modtaget nogen dusør fra Google, efter han 20. oktober har gjort virksomheden opmærksom på problemet. Men 1.november fik han dog en erkendtlighed i form af en plads i 'Hall of Fame' under Googles 'Vulnerability Reward Program'

Sikkerhedsforskeren har lavet en video, hvor han demonsterer problematikken, og tilføjer den ellers ugyldige konto google@gmail.com som valid afsenderadresse fra Gmail.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Povl Hansen

Ville det ikke være mere brugbart hvis man kunne bruge til det af udgive sig for noget ?

ikke fordi det ikke er fint af de har fundet det, men ... af kunne udgive sig for en ubrugt gmail adresse, kunne man så ikke bare oprette en gmail konto med denne email adresse, det ville da være meget letterer

  • 0
  • 0
#2 Leif Nielsen

Uha nej - hvis man opretter en mail hos google, biver man jo registreret med IP oma. Hvis man bruger mail adressen til at lokke folk i en fælde, kan mail adressen give indtryk af troværdighed og kan ikke afsløre afsenderen senere

  • 0
  • 0
Log ind eller Opret konto for at kommentere