Google|谷歌在Gmail漏洞公布七小时后部署了缓解措施
【Google|谷歌在Gmail漏洞公布七小时后部署了缓解措施】早在 4 个月前,安全研究员 Allison Husain 就已经向谷歌通报了一个影响 Gmail 或 G Suite 客户的电子邮件欺诈漏洞 。遗憾的是,尽管给足了 137 天的时间,谷歌仍选择拖到 9 月份的某个时候再修复这个 Bug。讽刺的是,在 Allison Husain 将详情公布后不久,谷歌团队就于 7 小时内在服务器端部署了缓解措施,以便能够撑到 9 月的正式修复 。
文章图片
资料图
据悉,该漏洞使得攻击者可发送模仿任何 Gmail 或 G Suite 客户的欺骗性电子邮件 。
此外 Allison Husain 指出,该 bug 还使得邮件附件能够骗过发件人策略框架(SPF)和基于域的消息身份验证(DMARC)这两项最先进的邮件安全标准 。
文章图片
遗憾的是,搜索巨头在漏洞修复上有些不够积极,甚至一度想拖到 9 月份再正式修复 。直到 Allison Husain 于自己的博客上披露了概念验证漏洞代码,谷歌工程师才于昨日改变了主义 。
博文上线 7 小时后,谷歌向 Allison Husain 表示,该公司已在服务器端部署了缓解措施 。
文章图片
至于这个 Gmail(G Suite)Bug 本身,实际上是两个因素的结合,首先是攻击者可将欺骗性的电子邮件发送到后端网关 。
其次是利用自定义邮件路由规则、以接收传入的电子邮件并将其转发,同时借助变更收件人的本地功能来骗过 Gmail 或 G Suite 客户 。
文章图片
利用此功能转发的好处是,Gmail / G Suite 会遵从 SPF 和 DMARC 安全标准来验证欺骗性转发的电子邮件 。因源于 Google 后端,其垃圾邮件评分也可能较低,从而减少了被过滤系统拦截的可能 。
Allison Husain 指出,这两个 bug 都是谷歌独有,如果漏洞未得到及时修补,其很有可能被恶意邮件发送者滥用 。庆幸的是,通过在服务器端部署缓解措施,用户这边无需执行任何附加操作 。
推荐阅读
- 量子|谷歌量子计算突破登Science封面,首次对化学反应进行量子模拟
- Google|谷歌将从Play Store中下架Fediverse应用因其可被用来访问仇恨言论
- Google|Google Assistant新功能让直接向重要非营利组织捐款变得更加容易
- Google|Google 首次完成化学反应的量子模拟
- 企业|科技巨头“豪买”AI企业的背后:苹果谷歌烧了上百亿元
- Google|YouTube正在测试iOS应用的原生画中画模式
- Google|谷歌量子计算登《科学》封面 量子模拟了化学反应
- Google|谷歌doodle纪念法国大作家大仲马
- Google|Google Duo视频通话服务将登陆Android TV智能电视
- 台湾|消息称Google将在台湾云林建第三个数据中心