GeekCondition最近的一篇文章称,Gmail的一处漏洞允许不法分子进入并操纵你的Gmail账户。该漏洞再次抬头。 Philipp Lenssen今天早上在Blogoscoped 发表的一篇文章引起了我们对该溢出漏洞的注意,2007年12月,David Airey 的网站也被利用类似的漏洞劫持过。很多人都认为Google已经修复了该漏洞,但是漏洞现在依然存在。
Gmail 溢出(Exploit)漏洞运行原理
如果你登陆Gmail账户,并且访问恶意网站,就可能发生溢出。不管该链接是否通过Gmail账户点开,该恶意网站都会得到你的内部资料。
接着恶意网站会在你不知道的情况下建立自动过滤,将你的email转向其他的email账户。虽然这些都发生在Google服务器上,但直到你查看邮件过滤时才会恍然大悟。
当得到私人信息之后,这个溢出漏洞会暴露所有将来的Gmail邮件。MakeUseOf指出,如果你的Gmail注册资料和某个注册域名的联系资料相同,那么在你不知道的情况下,通过账户恢复和密码重置工具,你的域名可能被劫持,并且处于待赎回状态。
时间表:Google如何应对该漏洞?
2007年9月25日
GNUCitizen的Petko D. Petkov认为Gmail有一个安全漏洞,并对跨站请求假冒溢出(cross-site request forgery exploit)进行了部分描述。
2007年9月28日
根据Google已经修复该漏洞的说法,GNUCitizen在原贴中加入考证内容。
2007年10月1日
ZDNet 发表了一篇由卡巴斯基实验室布道者Ryan Naraine撰写的文章,认为溢出漏洞已经得到了修补,但是仍针对Google的建议提出,人们应该检查Gmail过滤,因为该补丁没有除掉已经泄露的过滤。
November 20, 2007年11月20日
David Airey's的网站被劫持、重定向,并处于待赎回状态。 Airey 称这是9月份GNUCitizen曝光的Gmail溢出漏洞导致的。
2008年11月2日
不法分子劫持MakeUseOf的域名 并指向一个寄放域名(parked domain)。主编Aibek确认了攻击,并称黑客通过在Gmail里设置转发过滤获得了域名信息。
怎么办
Aibek在最近的一篇文章中详细介绍了MakeUseOf劫持事件 并提出四点建议:
检查你的邮箱过滤,并禁止IMAP协议。
不要把Gmail用于敏感资料联系方式(改变所有和当前敏感账户相关的邮件资料)
在注册域名时一定要升级到私人域名注册
在不认识发件人的情况下不要点开邮件连接,或者先退出账户。
Geekamongus 还建议加密浏览器连接,在Gmail的主设置页面可以找到。
记住,打开新的标签页,或者换个浏览器都不管用,你仍然有可能受到攻击。在YCombinator进行的一次讨论建议FireFox用户在不同的浏览模式下使用Gmail。你还应该考虑使用不同的浏览器登陆Gmail。
显然这是一个尚未解决的问题,但是至于是新的溢出漏洞抑或是原来的问题我们不得而知。不管怎样,你都应该检查所有Gmail账户的邮件过滤,确保里面只有你设定的过滤。
我们读写网的人喜欢Google的Gmail,并且经常撰写相关的文章。我们还讨论过Google对用户的抱怨缺乏反馈,以及Google在过去利用Gmail干过的糗事。 但是我们希望Google应该非常重视电子邮件的安全问题。
当然,如果所有的网络服务提供商都免费提供私人注册服务,将其作为服务标准,那么这个问题也没什么大不了。但这是另外一回事。