[轉載]谷歌Gmail Android版允許用戶輕鬆偽造電子郵件位址

PCM.DSD

獨立安全研究員Yan Zhu已發現了谷歌Gmail Android應用程式存在安全漏洞，可以用戶輕鬆偽造他們的電子郵件位址。在用戶以Name ""username@domain.com"代碼更名之後，用戶就可以偽造他們email的電子郵件位址，來愚弄接收電子郵件的一方。因為用戶在電子郵件位址之前輸入額外的引號，將引發Gmail輸入驗證機制不正常工作，並觸發郵件欺騙行為。



在此之後，用戶可以輸入自己喜歡的任何電子郵件位址，而當他發送電子郵件之後，對方收到的電子郵件顯示發送人的虛假電子郵件位址。Yan Zhu已經將該問題報告給谷歌公司，但該公司並沒有解決問題，並且拒絕將其歸類到安全漏洞當中去。

目前電子郵件採用DMARC安全標準，以避免電子郵件欺騙，傳播網路釣魚攻擊。谷歌是DMARC背後的主要驅動力，雖然DMARC和其他電子郵件安全協定可以檢測各種電子郵件欺騙技術，阻止垃圾郵件或網路釣魚攻擊，但是，Yan Zhu的測試表明，MARC和其他電子郵件安全協定目前無法察覺這種電子郵件位址偽造行為。

此問題僅影響Gmail Android版本。