5月14日国际报道 最新安全报告指出,Gmail内含某种严重的安全漏洞,把Google这项电子邮件服务变成一架垃圾邮件发送机。
信息安全研究团队(INSERT)已制作出概念验证(proof of concept)程序,利用电邮服务提供者之间的信赖阶层(trust hierarchy)安全漏洞。利用Google转传信息功能的安全漏洞,垃圾邮件滥发者可透过Google的SMTP服务发送成千上万封大宗邮件,避开Google以500封为限的电邮传送上限,以及伪造身分防护机制。
这份报告指出,随着垃圾邮件数量日增,电邮服务提供者转向白名单(whitelists)和黑名单,以便封锁已知垃圾邮件发送者的IP。因为Gmail被归为可信赖白名单的类别,以Gmail发送的电邮信息便获得空白委任状,得以避开垃圾邮件过滤检查。
INSERT报告显示,利用这项安全漏洞不需特别的网络知识与技巧:
此概念验证攻击显示,即使不具有特别网络访问权限的任何人,只要能连上SMTP (TCP port 25) 和HTTP (TCP port 80)服务,即可利用一个Gmail帐号,存取Google名列白名单的庞大SMTP转信设施,而且存取几乎不受限制。
Google未对这项报告发布正式评论。
Gmail不是垃圾邮件滥发者第一个下手的Google工具。早在4月间曾披露过,Google Calendar 今也被利用滥发垃圾信。 http://www.gmail.com/
打印文档
推荐好友 
返回顶部
增大字体 
减少字体