headless 曰く、

差出人の表示名に任意のメールアドレスを含むメールをAndroid版Gmailアプリで受信すると、そのメールアドレスが差出人のメールアドレスのように表示されてしまうバグが見つかっている(Yan Zhu氏のツイート、 Motherboardの記事、 Softpediaの記事、 TechWormの記事)。

このバグは差出人が「名前 ""メールアドレス"」のような形式で表示名を設定している場合に再現する。メール一覧では二重引用符を含む差出人名が表示され、メッセージを開いた場合の表示も通常とは若干異なる。そのため、注意深く見れば気付くと思われるが、実際の差出人のメールアドレスはまったく表示されない。なお、古いバージョン(Android 2.3.x)のGmailアプリでは再現しなかった。

このような形式での表示名を設定できるかどうかはメールサービスによって異なるが、少なくともGmailのアカウント設定では可能となっている。一方、Outlook.comでは二重引用符を含む表示名を設定できないようだ。

SMTPサーバーを使用してメールを送信すれば任意のメールアドレスを差出人のメールアドレスに偽装することは可能だが、Gmailなどでは別のメールアドレスを使用する場合はそのメールアドレスに送信される確認コードの入力が必要となる。

しかし、この方法では確認を必要としないため、簡単に差出人を偽装できてしまうことになる。また、差出人のメールアドレスとして記載されているのは本物なので、DKIMやSPF、DMARCといった送信ドメイン認証技術による確認もすり抜けてしまう。

バグを発見したセキュリティ研究者のYan Zhu氏は10月末にGoogleに報告しているが、Googleからはセキュリティ脆弱性ではないとの回答があったとのこと。Android版Gmailアプリは16日にも更新されているが、このバグは修正されていない。