-
-
谷歌Gmail Android版允许用户轻松伪造电子邮件地址
-
发表于:
2015-11-16 11:58
4068
-
谷歌Gmail Android版允许用户轻松伪造电子邮件地址
新闻链接:
c6bK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3y4F1j5X3g2@1j5g2)9J5k6h3y4G2L8g2)9J5c8X3q4J5N6r3W2U0L8r3g2K6i4K6u0r3y4o6b7^5y4o6l9&6i4K6u0W2K9s2c8E0
新闻时间:2015-11-15 22:16:20
新闻正文:
独立安全研究员Yan Zhu已发现了谷歌Gmail Android应用程序存在安全漏洞,可以用户轻松伪造他们的电子邮件地址。在用户以Name ""username@domain.com"代码更名之后,用户就可以伪造他们email的电子邮件地址,来愚弄接收电子邮件的一方。因为用户在电子邮件地址之前输入额外的引号,将引发Gmail输入验证机制不正常工作,并触发邮件欺骗行为。
在此之后,用户可以输入自己喜欢的任何电子邮件地址,而当他发送电子邮件之后,对方收到的电子邮件显示发送人的虚假电子邮件地址。Yan Zhu已经将该问题报告给谷歌公司,但该公司并没有解决问题,并且拒绝将其归类到安全漏洞当中去。
目前电子邮件采用DMARC安全标准,以避免电子邮件欺骗,传播网络钓鱼攻击。谷歌是DMARC背后的主要驱动力,虽然DMARC和其他电子邮件安全协议可以检测各种电子邮件欺骗技术,阻止垃圾邮件或网络钓鱼攻击,但是,Yan Zhu的测试表明,MARC和其他电子邮件安全协议目前无法察觉这种电子邮件地址伪造行为。
此问题仅影响Gmail Android版本。
[招生]科锐逆向工程师培训(2025年3月11日实地,远程教学同时开班, 第52期)!
