吳明宜Gmail 四月份爆出漏洞遲遲不修 研究人員八月公布漏洞後七小時內急修好
在研究人員公佈一個影響Gmail、G Suite,可讓駭客發送冒名郵件的漏洞後,Google在7小時內就修補好。
在研究人員公佈一個影響 Gmail、G Suite,可讓駭客發送冒名郵件的漏洞後,Google 在 7 小時內就修補好。
發現這個漏洞的安全研究人員 Allison Huasain 指出,問題元兇出在 Google 的郵件流程 (routing) 驗證瑕疵,駭客得以用 G Suite 轉寄信件,包括冒名信件,連 DMARC/SPF 郵件安全驗證也檢查不出來,讓冒牌郵件以假亂真。
Husain 發現這項漏洞後在今年 4 月 3 日通報 Google。
她解釋,攻擊者使用郵件閘道寄發郵件,中間利用 Google(Gmail 或 G Suite)伺服器轉發。只要利用 Google 郵件驗證規則的收件者驗證不足漏洞,攻擊者就能把信件傳到收件者郵件伺服器,利用一般郵件伺服器對 Google 的信任,而繞過 DMARC/SPF 檢查。
研究人員還說,如果攻擊者想冒充的對象同時也有 Gmail 或 G Suite 帳號的話更好,因為其網域會被設定允許 Google 後端代其傳送郵件,而使這些郵件更容易通過 SPF 和 DMARC。此外,由 Google 後端傳送的郵件一般比較不會被安全軟體判斷為垃圾郵件而過濾、攔截。
根據 Husain 公佈的時間軸,Google 4 月 16 日接受其通報的漏洞,但僅列為低風險,也沒有立即修補。但事實上,Google 到了 8 月初還是沒有修補。8 月 17 日研究人員通知 Google 將公佈漏洞,因為已經超過了 Google 的 90 天緘默期規定,迫使 Google 提前在 9 月 17 日釋出修補程式。8 月 19 日,Husain 在通報後的 137 天正式公開漏洞細節。而在 Husain 的文章上線 7 小時後,Google 也釋出了修補程式。