Tehnografi.com - Технологические новости, обзоры и советы

Приложения электронной почты PayPal и Android подвержены уязвимости спуфинга

Пару месяцев назад Эли Грей обнаружил ошибку спуфинга в папке «Входящие» Google, которая позволяла людям отправлять почту по ссылкам, которые подменяли получателя электронного письма. Его можно использовать для отправки электронных писем на адрес, отличный от указанного в поле получателя. Но отправители электронных писем никоим образом не могут видеть настоящего получателя.

Эли Грей обнаружил новую уязвимость того же типа, но на этот раз она связана с подделкой и мобильным приложением PayPal. Эта уязвимость позволяет пользователям щелкнуть ссылку, которая откроет селектор приложений Android по умолчанию, затем пользователь может выбрать PayPal, и это отобразит варианты оплаты пользователю по электронной почте. При использовании PayPal для выплаты определенной суммы денег пользователю будет показан адрес электронной почты, на который поступят деньги.

Но вместо этого PayPal покажет пользователю поддельный идентификатор электронной почты вместо адреса электронной почты мошенника. Если кто-то получит ссылку по электронной почте на адрес [email protected], деньги не будут отправлены в ЮНИСЕФ, а будут отправлены на адрес [email protected].

Очевидно, что это очень проблематично, и Эли Грей сообщил об уязвимости PayPal. Но PayPal заявил, что это не ошибка, а мошенничество с помощью социальной инженерии. Это означает, что PayPal не решит проблему и не предложит решение. Однако ошибка затрагивает другие приложения и операционные системы, такие как macOS, в почтовом приложении по умолчанию. Это также влияет на многие почтовые приложения Android, такие как Outlook и стандартное приложение электронной почты Samsung, Inbox от Google и Gmail. Эта проблема была исправлена ​​Google в Inbox в мае. Теперь можно только надеяться, что PayPal и другие важные компании с затронутыми приложениями исправят эту проблему.