Gmail 是很多人每日收发信件的工具,不过有个可用来冒名寄信的漏洞,让用户增加接到诈骗信或商业诈骗信的风险。资安人员向 Google 通报过了 137 天后,官方终于推出修补程式。
这次修复发生在 Google 后端信件流程规则的漏洞,此漏洞能构成严重的冒名转寄问题,只要配合信件闸道使用,便能帮助攻击者绕过现代信件系统严格的 SPF / DMARC 规则保护,冒充 G suite 或 Gmail 用户,寄出假信件给他人。
这次由研究人员 Allison Husain 发现,并在 4 月初立即通报 Google。但 Husain 指 8 月 1 日仍不见 Google 修补迹象,之后 Google 在 8 月中表示,要到 9 月 17 日才会释出修补程式。Husain 于 8 月 19 日以超过通知 Google 日期 137 天为由公开漏洞,且公开后 7 小时 Google 即修补完成。
SPF ( Sender Policy Framework ) 和 DMARC ( Domain-based Message Authentication, Reporting, and Conformance ) 规则可防止普通冒名信件。原理是将一组网域许可的发送者 IP 清单交给信件服务器比对,不在清单的 IP 寄出的信件,包括冒名或钓鱼邮件服务器就不会接收,合法来源寄来的便会接受。
但 Husain 发现的漏洞是根据 Google 后端信件流程规则产生,因此是 Google 服务器独有的问题。既然修补程式已释出,用户可稍微放心。
-
The Confused Mailman: Sending SPF and DMARC passing mail as any Gmail or G Suite customer
(本文由 Unwire HK 授权转载;首图来源:Unsplash)
