Uważaj na linki, które klikasz! Przez błędy w aplikacjach możesz stracić pieniądze

mm Michał Derej Artykuły 2018-07-15

Klikanie przypadkowych linków w sieci to fatalny pomysł, który może zagrozić bezpieczeństwu smartfona z Androidem. Wydawać mogłoby się jednak, że w przypadku odnośników tyczących się wiadomości e-mail może to wyglądać inaczej – w końcu po kliknięciu adresu w aplikacji wyświetlony zostanie adres odbiorcy. Niestety jest to złudne wrażenie, które użytkownikom smartfonów sprawić może wiele kłopotów. Problem ten idealnie obrazuje błąd w Inboxie, który teraz odnaleziony został również w wielu innych programach.

Bezpieczeństwo na Androidzie zagrożone – w wielu klientach e-mail oraz PayPalu odnaleziono poważną lukę

Na wielu stronach internetowych bardzo często znaleźć można odnośniki. Czasem są to specjalnie przygotowane linki, dzięki którym wysłanie wiadomości e-mail staje się dużo łatwiejsze – nie trzeba bowiem kopiować adresu, co zmniejsza szansę na błąd. Wystarczy jedynie kliknąć odnośnik, a program do wysyłania elektronicznych wiadomości otworzy się automatycznie, a my wprowadzić będziemy musieli wyłącznie tekst, jaki chcemy przesłać danej osobie. Niestety nadmierna wygoda może być niebezpieczna. Pokazuje to błąd bezpieczeństwa w wielu aplikacjach, który opisuje dla Was w tym artykule.

Zobacz też: Zobacz, czy smartfon z wysuwanym aparatem poradził sobie z testem wytrzymałości.

Eli Grey to człowiek, którego odkrycia opisywaliśmy już na łamach naszej strony. Tym razem badacz zajmujący się bezpieczeństwem znalazł poważne usterki, które zagrozić mogą danym oraz pieniądzom użytkowników, w kilku niezwykle popularnych aplikacjach ze sklepu Google Play. O co dokładnie chodzi? Odpowiednio spreparowany link rozpoczynający się od frazy „mailto”, który w teorii pozwolić powinien na łatwe „wklejanie” adresów e-mail do wybranych przez użytkownika aplikacji, może spowodować wyświetlenie zupełnie innego adresu, niż ten, na który faktycznie wysyłana jest wiadomość. Sytuacja ta jest szczególnie niebezpieczna w przypadku PayPala, który służy do przesyłania pieniędzy. Tam bowiem użytkownik usługi widzi w polu odbiorcy inny adres konta, niż ten, na który przesyłane są środki . W poniższym przypadku trafiają one na konto scammer@spoofing.net!

paypal oszustwo phising

Jak to działa?

Pokazany powyżej efekt można w wielu aplikacjach uzyskać dzięki zastosowaniu specjalnego wzoru linku. W tym celu wystarczy stworzyć odnośnik zgodnie z następującym schematem: mailto:%22donate@unicef.org%22%3Cscammer@spoofing.net%3E. Nieświadomemu użytkownikowi adresat wyświetlony zostanie jako adres dotacji dla organizacji Unicef, podczas gdy w praktyce będzie to inny adres e-mail. Usterka obecna jest w programach takich jak m.in. PayPal, Gmail, E-mail od Samsunga i Outlook. Oto jak sytuacja ta wygląda we wspomnianych przeze mnie aplikacjach:

W bezpiecznym programie wyświetlony adres e-mail powinien wyglądać następująco:

Co robić, jak żyć?

Eli Grey poinformował już twórców wymienionych wyżej aplikacji o tym poważnym błędzie bezpieczeństwa. Jak dotąd odpowiedź otrzymał on jedynie od działu pomocy PayPala, który stwierdził, że… wszystko jest jak najbardziej w porządku i poprawki nie będzie. Reszta twórców nie skomentowała jeszcze sytuacji. Z tego powodu aż do momentu poprawy usterki (a podczas korzystania z usługi przesyłu pieniędzy od Ebaya już chyba na zawsze) zachęcam Was do kopiowania lub przepisywania adresów e-mail. Warto wiedzieć, że udostępniony na stronie link można zawsze podejrzeć – w tym celu wystarczy go skopiować i wkleić np. do notatnika. Zachowajcie ostrożność!

Źródło i niektóre obrazy: XDA-Developers



  • gumis

    Skoro PayPal twierdzi, że nie ma problemu, to nie ma problemu 😛

  • annonyinganoni

    Poczta (aplikacja UWP Win 10 od M$) o dziwo bezpieczna



x