Gmail四月份爆出漏洞遲遲不修 研究人員八月公布漏洞後七小時內急修好
在研究人員公佈一個影響Gmail、G Suite,可讓駭客發送冒名郵件的漏洞後,Google在7小時內就修補好。
發現這個漏洞的安全研究人員Allison Huasain指出,問題元兇出在Google的郵件流程(routing)驗證瑕疵,駭客得以用G Suite轉寄信件,包括冒名信件,連DMARC/SPF郵件安全驗證也檢查不出來,讓冒牌郵件以假亂真。
Husain發現這項漏洞後在今年4月3日通報Google。
她解釋,攻擊者使用郵件閘道寄發郵件,中間利用Google (Gmail或G Suite)伺服器轉發。只要利用Google郵件驗證規則的收件者驗證不足漏洞,攻擊者就能把信件傳到收件者郵件伺服器,利用一般郵件伺服器對Google的信任,而繞過DMARC/SPF檢查。
研究人員還說,如果攻擊者想冒充的對象同時也有Gmail或G Suite帳號的話更好,因為其網域會被設定允許Google後端代其傳送郵件,而使這些郵件更容易通過SPF和DMARC。此外,由Google後端傳送的郵件一般比較不會被安全軟體判斷為垃圾郵件而過濾、攔截。
根據Husain公佈的時間軸,Google 4月16日接受其通報的漏洞,但僅列為低風險,也沒有立即修補。但事實上,Google到了8月初還是沒有修補。8月17日研究人員通知Google將公佈漏洞,因為已經超過了Google的90天緘默期規定,迫使Google提前在9月17日釋出修補程式。8月19日,Husain在通報後的137天正式公開漏洞細節。而在Husain的文章上線7小時後,Google也釋出了修補程式。