Gmail 或許是很多人每日也會用來收發郵件的工具,不過有一個可被人用來冒名發出郵件的漏洞,令用戶增加了接收欺詐郵件或者商業電子詐騙郵件的風險。在資訊安全人員向 Google 通報了 137 天後,官方終於推出修補程式。
這次修復了一個發生在 Google 後端郵件流程規則上的漏洞,這個漏洞能夠構成嚴重的冒名轉發問題,只要配合郵件閘道使用,便能幫助攻擊者得以繞過現代郵件系統嚴格的 SPF / DMARC 規則保護,冒充 G suite / Gmail 用戶發送冒名郵件給他人。
而是次漏洞是由研究人員 Allison Husain 發現,並在 4 月初發現後立即通報 Google。但該名研究人員指在 8 月 1 日仍不見 Google 修補的跡象,其後 Google 在 8 月中表示,要到 9 月 17 日才會釋出修補程式。研究人員於 8 月 19 日以超過通知 Google 日期 137 天為由向公開漏洞,而在漏洞被公開後 7 小時 Google 即完成修補。
SPF ( Sender Policy Framework ) 和 DMARC ( Domain-based Message Authentication, Reporting, and Conformance ) 規則可以防止普通冒名郵件。原理是將一組網域許可的發送者 IP 清單交給郵件伺服器比對,不在清單上的 IP 送出的郵件,包括冒名或釣魚郵件就不會被郵件伺服器接收,而合法來源送來的便會被接受。
但由於今次研究人員發現的漏洞是根據 Google 後端郵件流程規則而產生的,因此是 Google 伺服器獨有的問題。但既然已經釋出修補程式,事件亦已告一段落,大家不用太擔心。
資料來源 : Ezhes Blog