設為首頁fbYouTubeWhatsapp頻道IG

Post76.hk

搜索
查看: 780|回覆: 0

[手機及平板] [轉載]谷歌Gmail Android版允許用戶輕鬆偽造電子郵件位址

[複製鏈接]

1889

主題

1萬

回帖

0

精華

白鑽玩家

Rank: 13Rank: 13Rank: 13Rank: 13

積分
1121117

76 榮譽慈善家勲章

發表於 2015-11-16 06:37 | 顯示全部樓層 |閱讀模式

如果想睇到更多76師兄嘅分享,快啲登入成為會員啦!

您需要 登入 收看或下載更多內容。還未成為會員?成為會員

x
獨立安全研究員Yan Zhu已發現了谷歌Gmail Android應用程式存在安全漏洞,可以用戶輕鬆偽造他們的電子郵件位址。在用戶以Name ""username@domain.com"代碼更名之後,用戶就可以偽造他們email的電子郵件位址,來愚弄接收電子郵件的一方。因為用戶在電子郵件位址之前輸入額外的引號,將引發Gmail輸入驗證機制不正常工作,並觸發郵件欺騙行為。

a.jpg

在此之後,用戶可以輸入自己喜歡的任何電子郵件位址,而當他發送電子郵件之後,對方收到的電子郵件顯示發送人的虛假電子郵件位址。Yan Zhu已經將該問題報告給谷歌公司,但該公司並沒有解決問題,並且拒絕將其歸類到安全漏洞當中去。

目前電子郵件採用DMARC安全標準,以避免電子郵件欺騙,傳播網路釣魚攻擊。谷歌是DMARC背後的主要驅動力,雖然DMARC和其他電子郵件安全協定可以檢測各種電子郵件欺騙技術,阻止垃圾郵件或網路釣魚攻擊,但是,Yan Zhu的測試表明,MARC和其他電子郵件安全協定目前無法察覺這種電子郵件位址偽造行為。

此問題僅影響Gmail Android版本。
您需要登錄後才可以回帖 登錄 | 成為會員

本版積分規則  允許回帖郵件提醒樓主

重要聲明:本討論區是以即時上載留言的方式運作,Post76玩樂討論區對所有留言的真實性、完整性及立場等,不負任何法律責任。而一切留言之言論只代表留言者個人意 見,並非本網站之立場,讀者及用戶不應信賴內容,並應自行判斷內容之真實性。於有關情形下,讀者及用戶應尋求專業意見(如涉及醫療、法律或投資等問題)。 由於本討論區受到「即時上載留言」運作方式所規限,故不能完全監察所有留言,若讀者及用戶發現有留言出現問題,請聯絡我們。Post76玩樂討論區有權刪除任何留言及拒絕任何人士上載留言 (刪除前或不會作事先警告及通知 ), 同時亦有不刪除留言的權利,如有任何爭議,管理員擁有最終的詮釋權 。用戶切勿撰寫粗言穢語、誹謗、渲染色情暴力或人身攻擊的言論,敬請自律。本網站保留一切法律權利。權利。
快速回復 返回頂部 返回列表