科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道电邮不再安全?解析Gmail 0-day漏洞

电邮不再安全?解析Gmail 0-day漏洞

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

Petkov表示,这个漏洞是十分严重的,即使Google修复了引起注入行为发生的漏洞,但只要被攻击的用户过滤器名单存在攻击者的过滤器,攻击者仍然可以继续其攻击行为。

作者:IT专家网 2007年10月8日

关键字: 网络安全 电子邮件 系统漏洞 漏洞攻击 Google

  • 评论
  • 分享微博
  • 分享邮件

近日有安全研究人员表示,Google的Gmail很容易被黑客所攻击,黑客可以在邮件发送过程中获取用户邮件信息,此事一出立刻引起各方注意……

近日安全研究人员表示,Google的Gmail很容易被黑客所攻击,黑客可以在邮件发送过程中获取用户邮件信息。

英国web漏洞检测人员Petko Petkov近日发布一种以自己名字命名的伪装跨站请求(CSRF)程序。在过去的两周,Petkov已经发布了关于关于苹果的QuickTime, 微软的Windows Media Player 以及 Adobe便携式的文件格式 (PDF)中存在0-day漏洞的紧急信息。

Petkov,拒绝透露攻击者如何利用Gmail的过滤功能发起攻击的漏洞详细信息。但他表示,攻击者可以同受攻击用户一起访问一个恶意站点,同时登陆自己的Gmail帐户。恶意站点将会执行一个 “multi-part/form-date POST”的HTML命令,上传文件到Gmail应用程序的一个接口,然后注入一个恶意过滤器到用户的过滤器列表。

Petkov在Gnucitizen.org站点上发布了一系列的图片去证明攻击的可能性。例如,攻击通过编写一个过滤器,来寻找带有附件的电子邮件,并引导这些邮件去一个他们已经选定的邮件地址。这个过滤器可以自动转换所有邮件的匹配规则。

Petkov表示,这个漏洞是十分严重的,即使Google修复了引起注入行为发生的漏洞,但只要被攻击的用户过滤器名单存在攻击者的过滤器,攻击者仍然可以继续其攻击行为。

Google没有立即对是否存在这个漏洞做出回应,也没有表示合适会公布此漏洞的补丁。

如同上周公布PDF(便携式的文件格式)的重要漏洞一样,Petkov又一次选择了先公布漏洞信息,而没有第一时间向 Google公布这一漏洞。Petkov表示,“这仅是他的社会实验之一。”

WhiteHat安全公司的首席技术官(CTO)杰里葛罗斯曼表示Gmail漏洞的出现将会是一件令人十分惊慌的事情。在他的博客中,杰里葛罗斯曼写到,“电子邮件帐户信息可能存在更多可以被攻击者利用的重要信息,如银行的账号,博客账号以及购物信息等等。黑客利用这些漏洞将会是攻击变得更加简单、隐蔽,这的确是相当高明。

Petkov 补充了两点关于Gmail 漏洞的看法,假如真的存在这样的漏洞,那这个时候任何人的数据信息都将笼罩在阴影之下,这也使得攻击者可以悄无声息的取得获得用户的信息。假如用户的邮箱中存在这样的一个后门或间谍过滤器,那游戏结束,这个邮箱已经不再属于你了。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章