[轉載]谷歌Gmail Android版允許用戶輕鬆偽造電子郵件位址
獨立安全研究員Yan Zhu已發現了谷歌Gmail Android應用程式存在安全漏洞,可以用戶輕鬆偽造他們的電子郵件位址。在用戶以Name ""username@domain.com"代碼更名之後,用戶就可以偽造他們email的電子郵件位址,來愚弄接收電子郵件的一方。因為用戶在電子郵件位址之前輸入額外的引號,將引發Gmail輸入驗證機制不正常工作,並觸發郵件欺騙行為。在此之後,用戶可以輸入自己喜歡的任何電子郵件位址,而當他發送電子郵件之後,對方收到的電子郵件顯示發送人的虛假電子郵件位址。Yan Zhu已經將該問題報告給谷歌公司,但該公司並沒有解決問題,並且拒絕將其歸類到安全漏洞當中去。
目前電子郵件採用DMARC安全標準,以避免電子郵件欺騙,傳播網路釣魚攻擊。谷歌是DMARC背後的主要驅動力,雖然DMARC和其他電子郵件安全協定可以檢測各種電子郵件欺騙技術,阻止垃圾郵件或網路釣魚攻擊,但是,Yan Zhu的測試表明,MARC和其他電子郵件安全協定目前無法察覺這種電子郵件位址偽造行為。
此問題僅影響Gmail Android版本。
頁:
[1]