Gmail曝安全漏洞 Google电邮变成垃圾邮件发送机5月14日国际报道 最新安全报告指出,Gmail内含某种严重的安全漏洞,把Google这项电子邮件服务变成一架垃圾邮件发送机。 信息安全研究团队(INSERT)已制作出概念验证(proof of concept)程序,利用电邮服务提供者之间的信赖阶层(trust hierarchy)安全漏洞。利用Google转传信息功能的安全漏洞,垃圾邮件滥发者可透过Google的SMTP服务发送成千上万封大宗邮件,避开Google以500封为限的电邮传送上限,以及伪造身分防护机制。 这份报告指出,随着垃圾邮件数量日增,电邮服务提供者转向白名单(whitelists)和黑名单,以便封锁已知垃圾邮件发送者的IP。因为Gmail被归为可信赖白名单的类别,以Gmail发送的电邮信息便获得空白委任状,得以避开垃圾邮件过滤检查。 INSERT报告显示,利用这项安全漏洞不需特别的网络知识与技巧: 此概念验证攻击显示,即使不具有特别网络访问权限的任何人,只要能连上SMTP (TCP port 25) 和HTTP (TCP port 80)服务,即可利用一个Gmail帐号,存取Google名列白名单的庞大SMTP转信设施,而且存取几乎不受限制。 Google未对这项报告发布正式评论。 Gmail不是垃圾邮件滥发者第一个下手的Google工具。早在4月间曾披露过,Google Calendar如今也被利用滥发垃圾信。
|
|
热门文章
|
本周
|
本月
|
全部
|