Une chercheuse a repéré un bug de l’application Gmail qui permet de masquer la véritable adresse de l’expéditeur. Et il suffit d’un guillemet en plus pour cela.

gmail 5.0

Yan Zhu, chercheur indépendant en sécurité, a récemment publié sur Twitter une découverte intéressante : un bug du client Gmail mobile qui permet de cacher sa véritable identité en changeant le nom d’affichage. Ses remarques ayant été poliment ignorées par Google, elle a décidé de rendre publique la faille découverte en octobre.

Le bug ne fonctionne que dans l’application Gmail pour Android. Pour profiter de la faille, il suffit de modifier son nom d’affichage dans les paramètres du compte, ainsi la véritable adresse e-mail sera cachée, et le destinataire ne sera pas en mesure de voir, d’un coup d’oeil du moins, la véritable provenance du mail. Pour envoyer l’email affiché en exemple, Yan Zhu a changé son nom d’affichage en Yan «  » security@google.com  » avec un guillemet supplémentaire. « Les citations supplémentaires déclenchent un bug d’analyse dans l’application Gmail, ce qui rend la véritable adresse email invisible » explique Yan Zhu.

1447444003426424

L’équipe sécurité de Google a rejeté son rapport de bug, indiquant qu’il ne s’agit pas d’une vulnérabilité, selon les captures d’écran de Yan Zhu lors de sa correspondance par mail avec Google. Fonctionnant seulement dans l’application mobile Gmail, cette méthode pourrait toutefois servir de mauvais intérêts (e-mails de phishing), et il faut donc rester prudent.

En réalité, ce genre de méthode pour faire duper le destinataire a toujours existé, sur d’autres clients mails notamment, et c’est simplement la première fois qu’on la signale sur l’application Gmail de Google.