چگونه ایمیل های GMAIL هک می شدند؟

سرویس پست الکترونیکی Google یا GMAIL به کاربران اجازه میده که بتونند چند تا ایمیل داشته باشند و این ویژگی جالب باعث شد که هکر پاکستانی احمد مهتاب (

Ahmed Mehtab) آسیب پذیری رو از این سرویس کشف کنه و جایزه ۲۰ هزاردلاری از گوگل بگیره !

معرفی

با ویژگی استفاده از چند ایمیل بر روی یک اکانت شما می تونید اکانت های خودتون رو به هم لینک کنید یا حتی پیام های اکانت های مختلف رو به یه اکانت بفرستید. این ۲ فاکتور به آسیب پذیری تایید هویت داشتند که در دوره OWASP TOP 10 فارسی قبلا بررسی کردیم. اینکار شبیه به گرفتن کنترل دسترسی به اکانت هست اما نفوذگرا می تونن با دور زدن تایید هویت برای جعل اکانت ، فرستادن ایمیل های جعلی و … استفاده کنند.

جزئیات تخصصی

اگر وقتی وارد اکانت GMail اتان شدید روی دکمه تنظیمات کلیک کنید شما ۲ ویژگی با نام های  ” Account and Import ” > ” Send Mail As ” و Forwarding Module می بینید. شما می تونید آدرس ایمیل های مخلتفی رو به عنوان ایمیل های بعدیتون انتخاب کنید و بسازید مثل @gmail.com یا @googlemail.com یا حتی @googleemail.com و با این آسیب پذیری می تونید هر ایمیلی که خواستید رو انتخاب کنید !

 

اگر شما در خواست تایید ایمیل به ایمیلی که وجود نداره بفرستید GMail جزئیات اینکه ایمیل چرا ارسال نشده رو براتون توی صندوق پیام هاتون میاره :) این آسیب پذیری فقط در شرایط زیر به طور موفق روی تارگت کار می کند :

  • اگر سرویس SMTP آفلاین باشد
  • اگر ایمیل گیرنده غیر فعال باشد
  • اگر ایمیل گیرنده وجود نداشت
  • اگر گیرنده ایمیل ما را بلاک کرده باشد

اصل موضوع در شرایط بالا این است که گیرنده به هر دلیلی نمی تواند ایمیل های مارا دریافت کند و GMail به ما اطلاع می دهد که ایمیل Verifaction ای که فرستاده نمی تواند به گیرنده برسد و علت اصلی این آسیب پذیری این هست که در ایمیل فرستاده شده از GMAIL همون ایمیلی که به گیرنده فرستاده شده با جزئیات قرار دارد و شما می تونید Verification Code را بدست آورید و این Verification کد معتبر هست !

gmail-account-hijacking-1

در تصویر بالا می تونید لینک فعال کردن اکانت و همچنین کد فعال سازی را ببینید !

با بهره گیری از سناریو بالا نفوذگر می تواند قربانی را وادار به غیرفعال کردن اکانت خود بکند و حتی کنترل اکانت قربانی را بدست بگیرد.

این کار چگونه انجام می شود؟

برای دیدن چگونگی انجام دادن اینکار ویدیو زیر را ببینید:

منبع : http://blog.securityfuse.com/2016/11/gmail-account-hijacking-vulnerability.html

۶ نظر

  • مهندس همونطور که فرمودین، باید اول ایمیل طرف مشکل داشته باشه تا ایمیل Failure برای ما برگرده و OTP رو توی اون ببینیم
    پس چطور ادعا میکنید که میتوان کنترل ایمیل قربانی را بدست گرفت؟؟!!!!
    در صورتی که اگه ایمیلش سالم باشه خب OTP میره برای خود قربانی!!
    این ب نظرم قطعا یه ضعف گوگل بوده ولی به جز ایجاد fakemail میشه کار دیگه ای باهاش انجام داد؟؟

    • بله باید ایمیل ارسال نشده و ایمیل Failure به ما برگرده تا بتونیم کنترل اکانت رو بدست بگیریم. کاربردی که تو ویدیو معرفی شده همینه ، اما با خلاقیت شاید بتونید راه های دیگه ام کشف کنید.

  • مهرداد 3 ماه قبل

    این دیگه الان کار نمیکنه بسته شده ایمیل برمیگرده به اکانت ولی Verification Code دیگه توش نیست !

  • چرا منبع خبرتونو نمینویسین؟!

ارسال نظر

ایمیل شما منتشر نخواهد شد. پر کردن ورودی ها الزامی است. *

*

16 − چهارده =