2008年11月27日 星期四

爆錯料!Gmail漏洞原來是網釣手法

一則來自iThome的有趣新聞
也順帶提醒大家小心網路釣魚

---------------------------------------------
一名名為Brandon Partridge的開發人員本周在部落格中張貼了Gmail安全漏洞的概念性驗證程式,並指出該漏洞可被用來進行網釣攻擊。不過根據Google調查結果,這原來是網釣攻擊而非Gmail漏洞。

根據Partridge的說法,駭客可以在未知會使用者的狀況下強制使用者在Gmail中建立一個惡意的訊息過濾機制,之後駭客就可以挾持送到使用者Gmail帳號中的郵件,把特定郵件轉到使用者的垃圾郵件分類中並轉寄一封複本給駭客。

不過,隨後Google資安工程師Chris Evans則在部落格中否認這是Gmail漏洞。Evans表示,藉由許多受影響的用戶的協助,他們發現導致此一結果的原因為網釣手法,駭客傳送客製化的電子郵件鼓勵網域名稱持有人造訪偽造的網站,以讓駭客可以取得使用者名稱及帳號,而這些偽造的網站與Google無關,同時Google所發現的偽造網站目前皆已無法存取。

一旦駭客取得使用者資料,就能隨意改變這些帳號,例如駭客就能建置郵件過濾工具以將自特定網域傳來的電子郵件轉寄到駭客手上。這意謂著這些Gmail使用者帳號是駭客自其他的網釣手法取得,而非攻陷所謂的Gmail安全漏洞。

此外,Google也澄清這與去年9月發現的Gmail跨網站偽造要求(cross-site request forgery,CSRF)漏洞無關。當時研究人員發現Gmail中存在CSRF安全漏洞,當Gmail用戶登入Gmail並同時造訪惡意網頁時,駭客將可挾持使用者的電子郵件,當時Google在收到報告的24小時內就修補了該漏洞。

為了保障Gmail用戶的安全,Gmail提供使用者可以全程使用經加密保護的https網頁,並且建議使用者僅在https://www.google.com/accounts網域名稱上登入

---------------------------------------------

沒有留言:

張貼留言