Gmail의 오류, 피싱 공격 시 익명 메시지 작성 가능하게 해

Gmail Glitch Enables Anonymous Messages in Phishing Attacks

Gmail의 UX에 존재하는 오류로 인해 “발신인” 부분이 위조 되어 발신인 칸에 아무런 이름이 표시 되지 않는 이메일을 작성할 수 있었습니다.

이 트릭은 공식적인 경고문이나 시스템 메시지로 위장한 피싱 공격 시 무기화 되어 사용될 수 있었습니다.

소프트웨어 개발자인 Tim Cotten은 지난 금요일 Gmail의 UX에 존재하는 결점으로 인해 “발신인” 필드가 위장 되어 발신인이 없는 “유령” 이메일이 발송될 수 있다고 밝혔습니다.

<이미지 출처 : https://threatpost.com/gmail-glitch-enables-anonymous-messages-in-phishing-attacks/139247/>

Cotten은 이 트릭을 위해서 수신인의 이메일을 “발신인” 헤더(“name, recipient_email_here”)에 입력하고 <object>, <script>, <img>등과 같은 임의 태그와 연결했습니다.

그는 “잘못 된 형식의 이미지를 앞 필드에 삽입하면, 이메일의 송신자가 빈칸 형태로 표시될 것입니다.”고 밝혔습니다.

이 이메일을 수신하면, 송신인은 빈칸으로 표시 되며 “답장” 버튼을 눌러도 송신인의 이름이 표시 되지 않았습니다.

이메일 메시지의 “원본 표시” 파라미터 (이메일의 드롭 다운 태그를 통해 접근 가능) 아래에도 보낸 이의 이름을 볼 수 없었습니다.

실제 텍스트 아래에, <img> 태그를 사용한 뜻을 알 수 없는 테스트 케이스만 보일 뿐이었습니다.

“이는 따옴표를 붙인 별칭, 선생 된 단어, 공백 및 긴 base 64, 잘못 인코딩 된 img 태그의 조합이었습니다.”

“헤더 자체는 구글에서 보존 및 파싱했지만, UX는 이를 처리할 수 없었습니다.”

이 Gmail 오류는 무해한 것으로 보이지만, 공식 경고 메시지나 시스템 메시지로 위장한 피싱 메일을 작성하는 공격자들은 이를 유용하게 사용할 수 있습니다.

<스푸핑 된 ghost 이메일>>

<이미지 출처 : https://threatpost.com/gmail-glitch-enables-anonymous-messages-in-phishing-attacks/139247/>

“발신자 정보가 표시 되지 않을 경우, 이메일은 완전히 합법적으로 보이기 쉽습니다. 잘 교육 된 사용자들도 이에 속아 넘어가 계정이 해킹될 수 있습니다.”

Cotten은 이 Gmail의 취약점을 구글에 제보했으나, 구글은 아직까지 아무런 답변이 없었으며 버그를 수정하지도 않은 상태입니다.

출처 :

https://threatpost.com/gmail-glitch-enables-anonymous-messages-in-phishing-attacks/139247/