Yan Zhu는 보안 연구원으로 Android Gmail 애플리케이션의 취약점을 발견하고 Google에 보고했지만 Google의 재생에서 Yan은 화를 내고 새로운 트윗을 만들었습니다.
[dropcap]NS[/dropcap]10월 한 달 동안 많은 보안 결함이 발견되었고 보안 침해도 발생했습니다. 지메일 애플리케이션의 안드로이드 기반 플랫폼에서 보안 허점을 발견한 별도의 보안 연구원 Yan Zhu.
우리는 모두 피싱이 범죄라는 것을 알고 있지만 여기에서 이 연구원들이 이러한 노력을 기울였으며 Android Gmail 앱에서 보안 취약점이 드러난 직후 Yan은 Google 제품 관리자 지원 팀에 결함을 보고했습니다.
사용자가 가짜 이메일을 보낼 수 있도록 허용하는 Android Gmail 앱의 버그
나중에 Yan은 앱으로 생성된 상황에 대해 설명했습니다. 여기서 무슨 일이 발생합니까? 앱에는 사용자가 다른 이름으로 이메일을 보낼 수 있는 일종의 코드 부족이 있습니다. 보낸 사람의 이름이 Mantosh이고 메일을 보낼 수 있다고 가정해 보겠습니다. 수신자에게 “Mantosh”로 표시할 수 있습니다. [email protected]”(따옴표 제외) 그러나 표시될 수 있는 사람, 보낸 사람은 이름과 이메일을 변경할 수 있지만 이메일에는 다음과 같이 따옴표가 있어야 합니다.[email protected]”나중에 수신자에게 따옴표는 수신자에게 보이지 않지만 ID는 다음과 같습니다. [email protected] 이름이 있는 뷰어에게 표시됩니다.
이 경우 발신자는 가짜 ID로 자신의 실제 ID를 숨겨 수신자에게 표시할 수 있으며 이는 누구에게나 큰 보안 위험을 초래할 수 있습니다. 이러한 유형의 무의식적인 보안 취약성은 사람들이 곤경에 처할 수 있지만 Yan은 Google에 이 취약성을 다음과 같이 말했습니다. 우리는 이전에 말했다. 그러나 취약점이 보고된 후 어떻게 되었습니까? Google 보안의 응답은 당신을 놀라게 할 것입니다.
보낸 사람 이메일 주소를 위조할 수 있는 gmail android 버그를 제출했습니다. 그들은 보안 문제가 아니라고 말했다. ¯_(ツ)_/¯
— 얀(@bcrypt) 2015년 11월 11일
보안 팀은 Google 보안 팀의 건강에 해로운 응답이 Twitter와 같은 소셜 네트워크에 이 취약점을 공개하기로 결정한 직후 “당신의 메모에 감사드립니다. 보안 취약점으로 간주하지 않습니다. 아래에 주어진.
그녀는… “보안 문제가 아니라고 말한 발신자 이메일 주소를 위조할 수 있는 Gmail Android 버그를 제출했습니다. ¯_(ツ)_/¯”
이것은 Android Gmail 응용 프로그램에서만 수행할 수 있지만 위험도가 낮은 취약점으로 압력을 가할 수도 있지만 불행히도 이것은 여전히 더러운 마음을 가진 범인이나 해커에게 매력적인 관심을 가질 수 있습니다. 이 취약점으로 인해 수신자 또는 이메일 리더를 오도합니다. 위에서 멋진 예를 제공했기 때문입니다. 그녀의 Yan Zhu 덕분에 사람들이 이러한 유형의 트릭을 할 수 있도록 하는 악의적인 의도가 있고 이 모든 것이 Google에 주장되었지만 Google은 Android Gmail 애플리케이션 문제를 해결하는 대신 예기치 않은 답변으로 답장을 보냅니다.
Gmail은 이미 스푸핑된 취약점 가능성으로 개발되었으며 Gmail 내장 기능은 매우 강력하여 불쾌감을 주는 이메일을 스팸으로 리디렉션하거나 사용자에게 경고 팝업을 표시합니다.
마더보드는 보고서에 대해 말했으며 취약점에 대해 논의하기 위해 Yan Zhu 및 Google과도 연락했지만 Yan Zhu는 이미 이 모든 활동을 마더보드에 알렸습니다. 나중에 마더보드도 Google에 최대한 빨리 문제를 수정하도록 요청했습니다. 가능한.
또한 읽기:
-
FBI, Tor 사용자를 밝히기 위해 100만 달러 지불 거부
-
해커는 원격으로 Samsung Galaxy 전화의 통화를 나열하고 녹음할 수 있습니다.
- Microsoft BitLocker는 직원에게 보안 위험을 제공합니다.
이 모든 상황이 Twitter Yan Zhu 계정에서 생성된 후 Yan의 다른 추종자들은 그녀의 연구와 Google 보안 팀에 대한 보고서를 조롱했습니다. 꽃 중 하나인 Phred는 트윗에 대해 “Sergey 또는 Larry에게 이메일을 보내 즉시 수정해야 하는 최우선 버그라고 말하세요. 문제 해결됨“