最新安全報告指出,Gmail內含某種「嚴重的安全漏洞」,把Google這項電子郵件服務變成一架垃圾郵件發送機。
資訊安全研究團隊(INSERT)已製作出概念驗證(proof of concept)程式,利用電郵服務提供者之間的「信賴階層」(trust hierarchy)安全漏洞。利用Google轉傳訊息功能的安全漏洞,垃圾郵件濫發者可透過Google的SMTP服務發送成千上萬封大宗郵件,避開 Google以500封為限的電郵傳送上限,以及偽造身分防護機制。
這份報告指出,隨著垃圾郵件數量日增,電郵服務提供者轉向「白名單」(whitelists)和黑名單,以便封鎖已知垃圾郵件發送者的IP。因為Gmail被歸為可信賴白名單的類別,以Gmail發送的電郵訊息便獲得「空白委任狀」,得以避開垃圾郵件過濾檢查。
INSERT的報告顯示,利用這項安全漏洞不需特別的網路知識與技巧:
此概念驗證攻擊顯示,即使不具有特別網路存取權限的任何人,只要能連上SMTP (TCP port 25) 和HTTP (TCP port 80)服務,即可利用一個Gmail帳號,存取Google名列白名單的龐大SMTP轉信設施,而且存取幾乎不受限制。
Google未對這項報告發布正式評論。
Gmail不是垃圾郵件濫發者第一個下手的Google工具。早在4月間,我的同事Elinor Mills就披露過,他們如今也利用Google Calendar濫發垃圾信。===========================================================
人怕出名豬怕肥,以前大家常用Yahoo Mail,現在幾乎都被廣告垃圾信佔滿了,要找到真正重要的信件還真不容易,現在Gmail普及了,自然有一堆有心人士針對它的弱點進行攻擊,不過Google裡面畢竟人才濟濟,目前為止在免費信箱的提供廠商中,還是信件分類最有效率的。如果我們無法解決這個問題,只好期待Google還是以使用者為本,持續更新服務,鞏固的Google愛用者。
沒有留言:
張貼留言