美文网首页知了·IT@IT·互联网
Gmail安卓APP中的漏洞使得任何人都可以发送欺诈邮件

Gmail安卓APP中的漏洞使得任何人都可以发送欺诈邮件

作者: 威客安全 | 来源:发表于2015-11-20 11:05 被阅读0次

    安全研究人员Yan Zhu在Gmail安卓APP中发现了一个有趣的漏洞,该漏洞可以让任何人发送一封电子邮件,而使该邮件看起来是其他人发送的,这很可能会为网络钓鱼者们打开一扇恶意活动之门。

    Gmail安卓APP中存在邮件欺诈漏洞

    这种活动我们称之为电子邮件欺骗—篡改电子邮件头,这样电子邮件看起来是来自其他人的,而不是实际的发件人。通常来说,为了篡改电子邮件地址,攻击者需要:

    1、一个工作的SMTP(简单邮件传输协议)服务器来发送电子邮件2、一款邮件发送软件

    然而,一位独立安全研究员Yan Zhu在官方Gmail安卓APP中发现了一个类似的漏洞,该漏洞允许隐藏她真实的电子邮件地址,并在账户设置中改变她的显示名称,这样接收者将无法知道真实的发送者。

    如何通过Gmail安卓APP发送欺诈邮件?

    为了展示她的发现,Zhu通过改变她的显示名为yan""security@google.com"(增加了一个引号)向其他人发送了一封电子邮件。你可以看到下面Zhu在她的Twitter上发表的截图。

    Zhu向Motherboard解释道:

    “这个额外的引号(在显示名称中)触发Gmail应用中的一个解析错误,导致真正的电子邮件不可见。”

    一旦接收者收到这封邮件,邮件地址将诱使接收者相信邮件发自一个合法的Gmail安全团队,但实际上并不是这样。

    谷歌:这个缺陷不是一个安全漏洞

    在10月底,Zhu向谷歌的安全团队提交了该漏洞,但是对方否定了她的漏洞报告,并解释道这个bug并不是一个安全漏洞。

    虽然邮件欺骗可以被合法地使用,但是因为伪造一封电子邮件地址非常容易,所以垃圾邮件发送者和钓鱼者都将会利用它来危害大众或机构。

    如何保护自己免受邮件欺诈

    所以,如果你想保护自己免受欺骗信息的干扰,那么你可以按照下面的几种方法来实现:

    1、打开垃圾邮件过滤器—几乎每个电子邮件服务都提供垃圾邮件过滤器和垃圾箱,它们可以将欺诈邮件移除到你的垃圾邮件列表中。2、学习阅读电子邮件消息头及跟踪IP地址—追踪垃圾邮件的来源是一个良好的实践方式。当你收到一封可疑邮件时,打开邮件头并查看发送者的IP地址是否与同一个人之前的邮件地址相同。3、绝不要点击可疑链接或下载陌生的附件—要一直注意你接收到的邮件,不要点击邮件中的链接或者下载附件。如果收到显示为银行或其他网站发送来的邮件,请直接从浏览器中访问银行官方网站或者其他网站,并登录你的账号来查看他们想向你展示的内容。4、随时保持电脑上的防病毒软件为最新。

    [本文转自the hacker news,转载请注明来自威客安全]

    相关文章

      网友评论

        本文标题:Gmail安卓APP中的漏洞使得任何人都可以发送欺诈邮件

        本文链接:https://www.haomeiwen.com/subject/dtvlhttx.html