知了·IT@IT·互联网

Gmail安卓APP中的漏洞使得任何人都可以发送欺诈邮件

2015-11-20  本文已影响0人  威客安全

安全研究人员Yan Zhu在Gmail安卓APP中发现了一个有趣的漏洞,该漏洞可以让任何人发送一封电子邮件,而使该邮件看起来是其他人发送的,这很可能会为网络钓鱼者们打开一扇恶意活动之门。

Gmail安卓APP中存在邮件欺诈漏洞

这种活动我们称之为电子邮件欺骗—篡改电子邮件头,这样电子邮件看起来是来自其他人的,而不是实际的发件人。通常来说,为了篡改电子邮件地址,攻击者需要:

1、一个工作的SMTP(简单邮件传输协议)服务器来发送电子邮件2、一款邮件发送软件

然而,一位独立安全研究员Yan Zhu在官方Gmail安卓APP中发现了一个类似的漏洞,该漏洞允许隐藏她真实的电子邮件地址,并在账户设置中改变她的显示名称,这样接收者将无法知道真实的发送者。

如何通过Gmail安卓APP发送欺诈邮件?

为了展示她的发现,Zhu通过改变她的显示名为yan""security@google.com"(增加了一个引号)向其他人发送了一封电子邮件。你可以看到下面Zhu在她的Twitter上发表的截图。

Zhu向Motherboard解释道:

“这个额外的引号(在显示名称中)触发Gmail应用中的一个解析错误,导致真正的电子邮件不可见。”

一旦接收者收到这封邮件,邮件地址将诱使接收者相信邮件发自一个合法的Gmail安全团队,但实际上并不是这样。

谷歌:这个缺陷不是一个安全漏洞

在10月底,Zhu向谷歌的安全团队提交了该漏洞,但是对方否定了她的漏洞报告,并解释道这个bug并不是一个安全漏洞。

虽然邮件欺骗可以被合法地使用,但是因为伪造一封电子邮件地址非常容易,所以垃圾邮件发送者和钓鱼者都将会利用它来危害大众或机构。

如何保护自己免受邮件欺诈

所以,如果你想保护自己免受欺骗信息的干扰,那么你可以按照下面的几种方法来实现:

1、打开垃圾邮件过滤器—几乎每个电子邮件服务都提供垃圾邮件过滤器和垃圾箱,它们可以将欺诈邮件移除到你的垃圾邮件列表中。2、学习阅读电子邮件消息头及跟踪IP地址—追踪垃圾邮件的来源是一个良好的实践方式。当你收到一封可疑邮件时,打开邮件头并查看发送者的IP地址是否与同一个人之前的邮件地址相同。3、绝不要点击可疑链接或下载陌生的附件—要一直注意你接收到的邮件,不要点击邮件中的链接或者下载附件。如果收到显示为银行或其他网站发送来的邮件,请直接从浏览器中访问银行官方网站或者其他网站,并登录你的账号来查看他们想向你展示的内容。4、随时保持电脑上的防病毒软件为最新。

[本文转自the hacker news,转载请注明来自威客安全]

上一篇下一篇

猜你喜欢

热点阅读