Depuis les paramètres de Gmail sur l'ordinateur, il est possible de modifier le nom qui apparaîtra sur un email envoyé. Celui-ci est suivi de son adresse email. Une chercheuse en sécurité indépendante a trouvé un bug dont pourraient tirer parti des individus mal intentionnés.

Yan Zhu a modifié son nom d'affichage en yan ""security@google.com". Les guillemets supplémentaires provoquent un bug de traitement (que nous avons pu reproduire) qui se manifeste avec l'application Gmail pour Android.

Un message reçu dans l'application Gmail pour Android affiche comme expéditeur : yan security@google.com. Dans les détails, la véritable adresse d'expédition demeure cachée, et il apparaît également : yan security@google.com.

Le destinataire peut donc ici croire que l'email a été envoyé par l'équipe de sécurité de Google, ce qui n'est évidemment pas le cas. Il existe ainsi un risque de sécurité en trompant des utilisateurs sur l'identité de l'expéditeur.

Le bug se cantonne à l'application Gmail pour Android. Aux dires de Yan Zhu, l'équipe de sécurité de Google a estimé qu'il ne s'agissait pas d'une vulnérabilité de sécurité. Mystère quant à savoir si Google va corriger ce bug. Ce n'est toujours pas le cas.