首页
社区
课程
招聘
谷歌Gmail Android版允许用户轻松伪造电子邮件地址
发表于: 2015-11-16 11:58 4016

谷歌Gmail Android版允许用户轻松伪造电子邮件地址

2015-11-16 11:58
4016
新闻链接:http://www.cnbeta.com/articles/448409.htm
   新闻时间:2015-11-15 22:16:20
   新闻正文:
独立安全研究员Yan Zhu已发现了谷歌Gmail Android应用程序存在安全漏洞,可以用户轻松伪造他们的电子邮件地址。在用户以Name ""username@domain.com"代码更名之后,用户就可以伪造他们email的电子邮件地址,来愚弄接收电子邮件的一方。因为用户在电子邮件地址之前输入额外的引号,将引发Gmail输入验证机制不正常工作,并触发邮件欺骗行为。

在此之后,用户可以输入自己喜欢的任何电子邮件地址,而当他发送电子邮件之后,对方收到的电子邮件显示发送人的虚假电子邮件地址。Yan Zhu已经将该问题报告给谷歌公司,但该公司并没有解决问题,并且拒绝将其归类到安全漏洞当中去。

目前电子邮件采用DMARC安全标准,以避免电子邮件欺骗,传播网络钓鱼攻击。谷歌是DMARC背后的主要驱动力,虽然DMARC和其他电子邮件安全协议可以检测各种电子邮件欺骗技术,阻止垃圾邮件或网络钓鱼攻击,但是,Yan Zhu的测试表明,MARC和其他电子邮件安全协议目前无法察觉这种电子邮件地址伪造行为。

此问题仅影响Gmail Android版本。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//