扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
近日有安全研究人员表示,Google的Gmail很容易被黑客所攻击,黑客可以在邮件发送过程中获取用户邮件信息,此事一出立刻引起各方注意……
近日安全研究人员表示,Google的Gmail很容易被黑客所攻击,黑客可以在邮件发送过程中获取用户邮件信息。
英国web漏洞检测人员Petko Petkov近日发布一种以自己名字命名的伪装跨站请求(CSRF)程序。在过去的两周,Petkov已经发布了关于关于苹果的QuickTime, 微软的Windows Media Player 以及 Adobe便携式的文件格式 (PDF)中存在0-day漏洞的紧急信息。
Petkov,拒绝透露攻击者如何利用Gmail的过滤功能发起攻击的漏洞详细信息。但他表示,攻击者可以同受攻击用户一起访问一个恶意站点,同时登陆自己的Gmail帐户。恶意站点将会执行一个 “multi-part/form-date POST”的HTML命令,上传文件到Gmail应用程序的一个接口,然后注入一个恶意过滤器到用户的过滤器列表。
Petkov在Gnucitizen.org站点上发布了一系列的图片去证明攻击的可能性。例如,攻击通过编写一个过滤器,来寻找带有附件的电子邮件,并引导这些邮件去一个他们已经选定的邮件地址。这个过滤器可以自动转换所有邮件的匹配规则。
Petkov表示,这个漏洞是十分严重的,即使Google修复了引起注入行为发生的漏洞,但只要被攻击的用户过滤器名单存在攻击者的过滤器,攻击者仍然可以继续其攻击行为。
Google没有立即对是否存在这个漏洞做出回应,也没有表示合适会公布此漏洞的补丁。
如同上周公布PDF(便携式的文件格式)的重要漏洞一样,Petkov又一次选择了先公布漏洞信息,而没有第一时间向 Google公布这一漏洞。Petkov表示,“这仅是他的社会实验之一。”
WhiteHat安全公司的首席技术官(CTO)杰里葛罗斯曼表示Gmail漏洞的出现将会是一件令人十分惊慌的事情。在他的博客中,杰里葛罗斯曼写到,“电子邮件帐户信息可能存在更多可以被攻击者利用的重要信息,如银行的账号,博客账号以及购物信息等等。黑客利用这些漏洞将会是攻击变得更加简单、隐蔽,这的确是相当高明。
Petkov 补充了两点关于Gmail 漏洞的看法,假如真的存在这样的漏洞,那这个时候任何人的数据信息都将笼罩在阴影之下,这也使得攻击者可以悄无声息的取得获得用户的信息。假如用户的邮箱中存在这样的一个后门或间谍过滤器,那游戏结束,这个邮箱已经不再属于你了。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者