Un bug dans Gmail Android permet l'usurpation d'identité

Par:
fredericmazue

mer, 18/11/2015 - 13:45

Motherboard rapporte une découverte de la chercheuse chinoise en sécurité Yan Zhu. Un bug dans Gmail pour Android (et seulement pour Android) permet de très simplement usurper l'identité de l'expéditeur des messages.

Il suffit de modifier son nom dans l'application. L'exemple  ""security@google.com"  est donné. Le guillemet supplémentaire déclenche le bug dans l'application ce qui aura pour effet de masquer l'adresse mail véritable de l'utilisateur.

S'il s'agit d'une vulnérabilité à relativement faible risque, il est évident que cette faille pourrait être utilisée pour expédier des messages que leurs destinataires considéreraient comme de confiance, alors qu'en fait les mails embarqueraient des liens malveillants ou autres facéties. Cependant, dans un premier temps, Google avertie par Yan Zhu avait répondu qu'il ne s'agissait pas d'un bug de sécurité et que les choses resteraient en l'état.

Un peu plus tard toutefois, l'entreprise de Mountain View est revenue sur cette opinion pour annoncer qu'elle travaillait sur un correctif.