http://p0.qhimg.com/t0195c0c134acb7db15.jpg

一位安全调查员发现了Gmail Android app 中的一个有趣的漏洞,这个漏洞能达到发送伪造邮件的目的,同时也让黑客有了可趁之机.

这就是我们常常说的邮件诈骗,伪造邮件的标题使得从别处发出的邮件看上去像是真的。一般情况下,黑客伪造邮件地址需要:

  • 一份可行的简单邮件转换协议服务器用来发邮件

  • 一个邮件软件

然而,一个自主安全研究员,Yan Zhu在官方Gmail Android app发现了一个类似的漏洞,这个漏洞允许她隐藏她的真实邮箱地址并且可以改变她在账户中设置的用户姓名,以至于邮件接收者不知道谁是真正的寄信者。


怎样通过Gmail Android App?发一份伪造的邮件?

为了证明她的发现,Yan Zhu通过将她的用户名改为yan向某人发了一份邮件,security@google.com(带有另外的举证)。你能在她的Twitter 时间轴上看到下面的截屏。

“这个关于用户名额外的举证引发了一场对 Gmail app漏洞的剖析,这个漏洞使得真实的邮件不可见。”Yan Zhu在母版中讲到。

http://p8.qhimg.com/t01aa1ce12fbaa15360.jpg


Gmail Android App漏洞允许任何人发伪造的邮件

只要一经接收,邮箱地址就可以欺骗接收者,让他们相信这个邮件来自于一个合法的Gmail安全团队,但事实上并不是这样的。


谷歌——“这个漏洞并不是一个安全弱点”

Zhu在10月底向谷歌安全团队报告了这个漏洞,但是这个团队不认可她的漏洞报告,回应说这个漏洞并不是安全问题。

一个谷歌团队的成员告诉她“感谢你的来信,但是我们并不将这个漏洞看作安全漏洞”。

 “利用一个 Gmail Android漏洞可以让我捏造发件者邮箱地址。谷歌说这不是一个安全问题。”Zhu写到。

邮件仿造可以被合法利用,但是因为仿造一个邮件地址是如此容易,垃圾邮件制造者和骗子利用这个优点去危害人们或者是一些公司。


这里是一些让你远离假冒邮件保护自己的方法

如果你想要使假冒邮件远离你,你可以遵循以下方法:

  1. 开启你的垃圾邮件过滤器。几乎每一个邮箱服务器都提供垃圾邮件过滤器和垃圾箱,使用垃圾箱可以抑制虚假邮件的出现。

  2. 学会读邮件的标题,并且要检查IP地址。追捕垃圾邮件的资源是一个好方法。当你收到一个可疑邮件,打开标题看看是否IP地址和以前寄邮件的人的地址一样。

  3. 不要点击可疑的链接或者下载不熟悉的附件。要时刻关注着你收到的邮件并且避免点击里面的链接或者下载邮件附件。直接从浏览器登录银行官网和你的账户看通知。

  4. 更新你的个人电脑反恶意程序

文章原文链接:https://www.anquanke.com/post/id/82922