安全漏洞把Gmail變成垃圾郵件製造機

| | | | | | 留下回應

    

最新安全報告指出，Gmail內含某種「嚴重的安全漏洞」，把Google這項電子郵件服務變成一架垃圾郵件發送機。

資訊安全研究團隊(INSERT)已製作出概念驗證(proof of concept)程式，利用電郵服務提供者之間的「信賴階層」(trust hierarchy)安全漏洞。利用Google轉傳訊息功能的安全漏洞，垃圾郵件濫發者可透過Google的SMTP服務發送成千上萬封大宗郵件，避開Google以500封為限的電郵傳送上限，以及偽造身分防護機制。 

這份報告指出，隨著垃圾郵件數量日增，電郵服務提供者轉向「白名單」(whitelists)和黑名單，以便封鎖已知垃圾郵件發送者的IP。因為Gmail被歸為可信賴白名單的類別，以Gmail發送的電郵訊息便獲得「空白委任狀」，得以避開垃圾郵件過濾檢查。

INSERT的報告顯示，利用這項安全漏洞不需特別的網路知識與技巧：

此概念驗證攻擊顯示，即使不具有特別網路存取權限的任何人，只要能連上SMTP (TCP port 25) 和HTTP (TCP port 80)服務，即可利用一個Gmail帳號，存取Google名列白名單的龐大SMTP轉信設施，而且存取幾乎不受限制。

Google未對這項報告發布正式評論。

Gmail不是垃圾郵件濫發者第一個下手的Google工具。早在4月間，我的同事Elinor Mills就披露過，他們如今也利用Google Calendar濫發垃圾信。(唐慧文/譯)