freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Gmail安卓APP中的漏洞使得任何人都可以发送欺诈邮件
2015-11-18 13:54:53

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

安全研究人员Yan Zhu在Gmail安卓APP中发现了一个有趣的漏洞,该漏洞可以让任何人发送一封电子邮件,而使该邮件看起来是其他人发送的,这很可能会为网络钓鱼者们打开一扇恶意活动之门。

Gmail安卓APP中存在邮件欺诈漏洞

这种活动我们称之为电子邮件欺骗—篡改电子邮件头,这样电子邮件看起来是来自其他人的,而不是实际的发件人。通常来说,为了篡改电子邮件地址,攻击者需要:

1、一个工作的SMTP(简单邮件传输协议)服务器来发送电子邮件
2、一款邮件发送软件

然而,一位独立安全研究员Yan Zhu在官方Gmail安卓APP中发现了一个类似的漏洞,该漏洞允许隐藏她真实的电子邮件地址,并在账户设置中改变她的显示名称,这样接收者将无法知道真实的发送者。

如何通过Gmail安卓APP发送欺诈邮件?

为了展示她的发现,Zhu通过改变她的显示名为yan""security@google.com"(增加了一个引号)向其他人发送了一封电子邮件。你可以看到下面Zhu在她的Twitter上发表的截图。

Zhu向Motherboard解释道:

“这个额外的引号(在显示名称中)触发Gmail应用中的一个解析错误,导致真正的电子邮件不可见。”

一旦接收者收到这封邮件,邮件地址将诱使接收者相信邮件发自一个合法的Gmail安全团队,但实际上并不是这样。

谷歌:这个缺陷不是一个安全漏洞

在10月底,Zhu向谷歌的安全团队提交了该漏洞,但是对方否定了她的漏洞报告,并解释道这个bug并不是一个安全漏洞。

虽然邮件欺骗可以被合法地使用,但是因为伪造一封电子邮件地址非常容易,所以垃圾邮件发送者和钓鱼者都将会利用它来危害大众或机构。

如何保护自己免受邮件欺诈

所以,如果你想保护自己免受欺骗信息的干扰,那么你可以按照下面的几种方法来实现:

1、打开垃圾邮件过滤器—几乎每个电子邮件服务都提供垃圾邮件过滤器和垃圾箱,它们可以将欺诈邮件移除到你的垃圾邮件列表中。
2、学习阅读电子邮件消息头及跟踪IP地址—追踪垃圾邮件的来源是一个良好的实践方式。当你收到一封可疑邮件时,打开邮件头并查看发送者的IP地址是否与同一个人之前的邮件地址相同。
3、绝不要点击可疑链接或下载陌生的附件—要一直注意你接收到的邮件,不要点击邮件中的链接或者下载附件。如果收到显示为银行或其他网站发送来的邮件,请直接从浏览器中访问银行官方网站或者其他网站,并登录你的账号来查看他们想向你展示的内容。
4、随时保持电脑上的防病毒软件为最新。

*参考来源:thehackernewsSecurityAffairs,FB小编JackFree编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.com)

本文作者:, 转载请注明来自FreeBuf.COM

# 漏洞 # gmail # 欺诈 # 邮件
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑