В Gmail обнаружена уязвимость, позволяющая блокировать чужие учетные записи

Логотип Gmail с фрагментом текста Zalgo

Команде исследователей из компании We Are Segment удалось обнаружить баг в работе популярной почтовой службы Gmail. Он позволяет злоумышленникам блокировать электронные адреса пользователей через отправку сообщений с особым содержанием.

Как проявилась уязвимость?

Эксперты проводили испытания с текстами Zalgo в браузерах. Особый тип текста, состоящий более чем из 1000000 метасимволов и символов, на несколько минут выводил их из строя. По словам исследователей, из простого любопытства они решили проверить, откажет ли браузер, если Zalgo отправить в письме на чей-нибудь почтовый ящик Gmail.

Эксперимент привел к неожиданному результату: вместо браузера сбои начались на сайте самой почтовой службы. Необычное письмо было успешно доставлено адресату, но вот открыть его не получилось. Через несколько минут Gmail перезагрузился, и на экране появилось сообщение «Error 500». Экспертам удалось восстановить работу почты и провести еще одно такое же испытание, чтобы зафиксировать время, в течение которого сервис восстановится сам. Как оказалось, атакованный почтовый аккаунт «лежал» 4 дня. Эксперты сразу же сообщили о проблеме в Google.

Уязвимость была обнаружена еще в декабре, однако ее решили не предавать огласке до тех пор, пока разработчики Gmail не устранят брешь.

Источник: Anti-Malware