W Inboxie odkryto poważny błąd bezpieczeństwa. Google lekceważy problem

mm Michał Derej Artykuły 2018-04-30

Inbox to wprowadzona przez Google’a jakiś czas temu usługa, która pozwala na prostsze zarządzanie wiadomościami e-mail z różnych źródeł, np. z Gmaila lub Outlooka. Główną zaletą Inboxa nad standardowymi skrzynkami jest inteligentne sortowanie wiadomości oraz świetny wygląd, dzięki czemu praca z tą usługą jest naprawdę przyjemna. Jakiś czas temu pewien użytkownik Reddita odnalazł błąd bezpieczeństwa, który pozwala na oszukiwanie użytkowników Inboxa – niestety wygląda na to, że Google od wielu miesięcy lekceważy ten problem.

Na czym polega odnaleziony błąd?

Eli Grey, który odnalazł opisywany w tym artykule błąd, dokładnie opisał go na łamach swojej strony. Z przedstawionych przez niego informacji wynika, że dowolna osoba może nakłonić użytkownika Inboxa, że pisze on wiadomość e-mail na inny adres, niż faktycznie podany jest w polu adresata. Jest to możliwe, ponieważ usługa Google’a niepoprawnie wyświetla adresy e-mail, które podane są w następującej formie: mailto:​”[email protected]”​<[email protected]>. Dla przykładu, poniżej przedstawiam Wam, jak sytuacja ta jest różna w zależności od skrzynki pocztowej, z której korzystamy. Tak wysyłanie maila wygląda z aplikacji Mail od Apple’a:

Inbox natomiast przedstawia powyższy adres po prostu jako oficjalny adres e-mail działu pomocy technicznej PayPala. Zobaczcie sami:

Przyznajcie, że sytuacja ta stwarza niebezpieczeństwo oszukania niczego nieświadomego użytkownika np. za pomocą odpowiednio spreparowanego linku, który umieścić można na stronie. Sprawdźcie sami – ten specjalnie przygotowany link przekieruje Was na stronę Inboxa, gdzie faktycznym odbiorcą Waszego maila będzie adres [email protected].

Google nie reaguje na wysyłane prośby o naprawienie tego błędu

Eli Grey wiadomość e-mail z opisem odkrytej luki wysłał do Google’a już 3 lipca 2017 roku. Niestety pracownicy giganta z Mountain View ignorowali wiadomości i zdecydowali się odpisać dopiero w połowie kwietnia tego roku, kiedy to poinformowali, że „dziękują za chęć upublicznienia tej luki”. W skrócie oznacza to, że twórcy Inboxa prawdopodobnie nie są zainteresowani naprawą dość poważnego błędu bezpieczeństwa, co miejmy nadzieję, zmieni się, gdy sprawa ta zostanie szerzej upubliczniona.

Zobacz także: Czyszczenie smartfona ze zbędnych plików jest naprawdę proste!

Co robić, jak żyć?

Jeśli korzystacie z Inboxa, to upewnijcie się, że adresatów wiadomości e-mail przepisujecie ręcznie lub wklejacie – klikanie w linki może mieć dość nieprzyjemne skutki, co widać po problemie opisywanym w tym artykule. Jeśli natomiast używacie skrzynki e-mail od innego dostawcy, to prawdopodobnie nie ma powodów do obaw – większość firm zastosowała już odpowiednie kroki bezpieczeństwa, dzięki czemu podczas pisania wiadomości wyświetlany jest poprawny adres odbiorcy. Miejmy nadzieję, że Google wkrótce również zmieni sposób działania Inboxa na bardziej bezpieczny.

Źródło: Eli Grey

 

 

 






Przewiń stronę, by przeczytać kolejny wpis
x