요약
-Gmail UX에 버그 존재. ‘보내는이’란을 비워둘 수 있어 보내는이 없이 전송되는 ‘고스트’ 이메일을 보낼 수 있음.
-‘보내는이’란에 받는 사람의 이메일 주소를 적고 <object>, <script>, 혹은 <img>와 매칭하여 입력하면 가능
-‘원문보기(Show Original)’ 버튼을 눌러도 보내는이의 주소가 없음.
-피싱에 사용될 수 있는 버그라 문제가 됨.
-원인 : 구글이 헤더를 보관하고 파싱을 하는데 UX가 처리하지 못함
-시스템 경고나 에러메세지등이 보내는이 없이 표시가 되기 때문에 이를 악용한 피싱 공격에 유의
영향성
크게 문제될 취약점은 아니나, ‘보내는이’가 없는 시스템 경고나 메시지등을 가장한 이메일을 보내는데 악용될 소지가 있어 주의 요망
현재 구글에서 이 버그에 관해 아무런 언급을 하지 않음.
참고자료
출처: https://threatpost.com/gmail-glitch-enables-anonymous-messages-in-phishing-attacks/139247/