Популярный почтовый сервис Gmail оказался уязвимым перед атакой, с помощью которой хакеры могли надолго заблокировать пользователям доступ к их личным аккаунтам. На эту проблему специалист по кибербезопасности наткнулся при проведении исследований,направленных на выявление ситуаций, в которых почтовый сервис может подвести своих пользователей.
Тесты проводились исследователем Робертом Бинди, который работает в компании We are Segment. Именно ему удалось обнаружить уязвимость в сервисе Gmail. У специалиста получилось выяснить, что при отправке потенциальной жертве особого сообщения, специально сформированного для осуществления атаки, хакер может лишить человека доступа к его личному почтовому ящику. Конечно, такая схема срабатывает в том случае, когда пользователь попытается открыть такое письмо.
Во время тестирования надежности почты исследователем использовался специальный текст Zalgo, который включает в себя буквы,цифры и прочие метасимволы. Бинди стало интересно, как внедрение этого текста в браузер повлияет на работу почтового сервиса.
Результат проведения первого теста оказался весьма неожиданным. Бинди для начала создал текст, который состоит из 1 млн метасимволов, а потом попытался внедрить его в браузер. В результате веб-обозреватель не надолго зависал, но через несколько минут возобновлял свою работу.
На втором этапе эксперимента специалист решил отправить этот же текст на почту посредством сервиса Gmail. На этот раз исследователь снова ожидал увидеть сбой в работе браузера, но веб-обозреватель продолжал работать стабильно, а вместо этого сбой произошел в работе самого почтового сервиса.
Примечательно, что письмо, содержащее в себе 1 млн метасимволов, доставилось получателю без проблем, но при попытке открыть его и прочитать, возник сбой в работе сервиса, в результате которого он полностью отключился, а на экране устройства появилась ошибка Error 500. Такой эксперимент лишил Бинди доступа к почте на 4 дня. Этот же способ может быть использован злоумышленниками для того, чтобы заблокировать пользователям доступ к их личным почтовым аккаунтам. В связи с этим специалист сразу же сообщил компании Google об обнаруженной проблеме и специалисты оперативно устранили ее.