谷歌Gmail Android版允許用戶輕松偽造電子郵件地址
責編:mhshi |2015-11-17 15:46:27獨立安全研究員Yan Zhu已發現了谷歌Gmail Android應用程序存在安全漏洞,可以用戶輕松偽造他們的電子郵件地址。在用戶以Name “”username@domain.com”代碼更名之后,用戶就可以偽造他們email的電子郵件地址,來愚弄接收電子郵件的一方。因為用戶在電子郵件地址之前輸入額外的引號,將引發Gmail輸入驗證機制不正常工作,并觸發郵件欺騙行為。
在此之后,用戶可以輸入自己喜歡的任何電子郵件地址,而當他發送電子郵件之后,對方收到的電子郵件顯示發送人的虛假電子郵件地址。Yan Zhu已經將該問題報告給谷歌公司,但該公司并沒有解決問題,并且拒絕將其歸類到安全漏洞當中去。
目前電子郵件采用DMARC安全標準,以避免電子郵件欺騙,傳播網絡釣魚攻擊。谷歌是DMARC背后的主要驅動力,雖然DMARC和其他電子郵件安全協議可以檢測各種電子郵件欺騙技術,阻止垃圾郵件或網絡釣魚攻擊,但是,Yan Zhu的測試表明,MARC和其他電子郵件安全協議目前無法察覺這種電子郵件地址偽造行為。
此問題僅影響Gmail Android版本。