Gmail 冒名轉寄漏洞發現逾 4 個月,Google 終於推出修補程式

作者 | 發布日期 2020 年 08 月 27 日 7:45 | 分類 Google , 資訊安全 , 軟體、系統 line share follow us in feedly line share
Gmail 冒名轉寄漏洞發現逾 4 個月,Google 終於推出修補程式


Gmail 是很多人每日收發信件的工具,不過有個可用來冒名寄信的漏洞,讓用戶增加接到詐騙信或商業詐騙信的風險。資安人員向 Google 通報過了 137 天後,官方終於推出修補程式。

這次修復發生在 Google 後端信件流程規則的漏洞,此漏洞能構成嚴重的冒名轉寄問題,只要配合信件閘道使用,便能幫助攻擊者繞過現代信件系統嚴格的 SPF / DMARC 規則保護,冒充 G suite 或 Gmail 用戶,寄出假信件給他人。

這次由研究人員 Allison Husain 發現,並在 4 月初立即通報 Google。但 Husain 指 8 月 1 日仍不見 Google 修補跡象,之後 Google 在 8 月中表示,要到 9 月 17 日才會釋出修補程式。Husain 於 8 月 19 日以超過通知 Google 日期 137 天為由公開漏洞,且公開後 7 小時 Google 即修補完成。

SPF ( Sender Policy Framework ) 和 DMARC ( Domain-based Message Authentication, Reporting, and Conformance ) 規則可防止普通冒名信件。原理是將一組網域許可的發送者 IP 清單交給信件伺服器比對,不在清單的 IP 寄出的信件,包括冒名或釣魚郵件伺服器就不會接收,合法來源寄來的便會接受。

但 Husain 發現的漏洞是根據 Google 後端信件流程規則產生,因此是 Google 伺服器獨有的問題。既然修補程式已釋出,用戶可稍微放心。

(本文由 Unwire HK 授權轉載;首圖來源:Unsplash