安全漏洞把Gmail變成垃圾郵件製造機
| 
| 
| 
| 
| 
最新安全報告指出,Gmail內含某種「嚴重的安全漏洞」,把Google這項電子郵件服務變成一架垃圾郵件發送機。
資訊安全研究團隊(INSERT)已製作出概念驗證(proof of concept)程式,利用電郵服務提供者之間的「信賴階層」(trust hierarchy)安全漏洞。利用Google轉傳訊息功能的安全漏洞,垃圾郵件濫發者可透過Google的SMTP服務發送成千上萬封大宗郵件,避開 Google以500封為限的電郵傳送上限,以及偽造身分防護機制。
這份報告指出,隨著垃圾郵件數量日增,電郵服務提供者轉向「白名單」(whitelists)和黑名單,以便封鎖已知垃圾郵件發送者的IP。因為Gmail被歸為可信賴白名單的類別,以Gmail發送的電郵訊息便獲得「空白委任狀」,得以避開垃圾郵件過濾檢查。
INSERT的報告顯示,利用這項安全漏洞不需特別的網路知識與技巧:
此概念驗證攻擊顯示,即使不具有特別網路存取權限的任何人,只要能連上SMTP (TCP port 25) 和HTTP (TCP port 80)服務,即可利用一個Gmail帳號,存取Google名列白名單的龐大SMTP轉信設施,而且存取幾乎不受限制。
Google未對這項報告發布正式評論。
Gmail不是垃圾郵件濫發者第一個下手的Google工具。早在4月間,我的同事Elinor Mills就披露過,他們如今也利用Google Calendar濫發垃圾信。(唐慧文/譯)Ref-
http://www.zdnet.com.tw/news/web/0,2000085679,20129259,00.htm?feed=NL:+%AC%EC%A7%DE%B7s%BBD%A4%E9%B3%F8
--
[垃圾桶] 裡沒有會話群組?
沒有留言:
張貼留言