点击这里给我发消息 点击这里给我发消息

Gmail溢出漏洞可导致长域名劫持

添加时间:2013-12-6
    相关阅读: 域名注册 页面 网络 链接 网站
 

GeekCondition最近的一篇文章称,Gmail的一处漏洞允许不法分子进入并操纵你的Gmail账户。该漏洞再次抬头。 Philipp Lenssen今天早上在Blogoscoped 发表的一篇文章引起了我们对该溢出漏洞的注意,2007年12月,David Airey 的网站也被利用类似的漏洞劫持过。很多人都认为Google已经修复了该漏洞,但是漏洞现在依然存在。
 
Gmail 溢出(Exploit)漏洞运行原理
如果你登陆Gmail账户,并且访问恶意网站,就可能发生溢出。不管该链接是否通过Gmail账户点开,该恶意网站都会得到你的内部资料。
 
接着恶意网站会在你不知道的情况下建立自动过滤,将你的email转向其他的email账户。虽然这些都发生在Google服务器上,但直到你查看邮件过滤时才会恍然大悟。该过程详情请见GeekCondition文章:Gmail安全漏洞考证
 
当得到私人信息之后,这个溢出漏洞会暴露所有将来的Gmail邮件。MakeUseOf指出,如果你的Gmail注册资料和某个注册域名的联系资料相同,那么在你不知道的情况下,通过账户恢复和密码重置工具,你的域名可能被劫持,并且处于待赎回状态。
 
时间表:Google如何应对该漏洞?
2007年9月25日
GNUCitizen的Petko D. Petkov认为Gmail有一个安全漏洞,并对跨站请求假冒溢出(cross-site request forgery exploit)进行了部分描述。
 
2007年9月28日
根据Google已经修复该漏洞的说法,GNUCitizen在原贴中加入考证内容。
 
2007年10月1日
ZDNet 发表了一篇由卡巴斯基实验室布道者Ryan Naraine撰写的文章,认为溢出漏洞已经得到了修补,但是仍针对Google的建议提出,人们应该检查Gmail过滤,因为该补丁没有除掉已经泄露的过滤。
 
November 20, 2007年11月20日

David Airey's的网站被劫持、重定向,并处于待赎回状态。 Airey 称这是9月份GNUCitizen曝光的Gmail溢出漏洞导致的。
 
2008年11月2日
不法分子劫持MakeUseOf的域名并指向一个寄放域名(parked domain)。主编Aibek确认了攻击,并称黑客通过在Gmail里设置转发过滤获得了域名信息。
 
Aibek在最近的一篇文章中详细介绍了MakeUseOf劫持事件并提出四点建议:

一、检查你的邮箱过滤,并禁止IMAP协议。
二、不要把Gmail用于敏感资料联系方式(改变所有和当前敏感账户相关的邮件资料)
三、在注册域名时一定要升级到私人域名注册
四、在不认识发件人的情况下不要点开邮件连接,或者先退出账户。
五、Geekamongus 还建议加密浏览器连接,在Gmail的主设置页面可以找到。

记住,打开新的标签页,或者换个浏览器都不管用,你仍然有可能受到攻击。在YCombinator进行的一次讨论建议FireFox用户在不同的浏览模式下使用Gmail。你还应该考虑使用不同的浏览器登陆Gmail。
 
显然这是一个尚未解决的问题,但是至于是新的溢出漏洞抑或是原来的问题我们不得而知。不管怎样,你都应该检查所有Gmail账户的邮件过滤,确保里面只有你设定的过滤。
我们读写网的人喜欢Google的Gmail,并且经常撰写相关的文章。我们还讨论过Google对用户的抱怨缺乏反馈,以及Google在过去利用Gmail干过的糗事。但是我们希望Google应该非常重视电子邮件的安全问题。
 
当然,如果所有的网络服务提供商都免费提供私人注册服务,将其作为服务标准,那么这个问题也没什么大不了。但这是另外一回事。

咨询热线:020-85648757 85648755 85648616 0755-27912581 客服:020-85648756 0755-27912581 业务传真:020-32579052
广州市网景网络科技有限公司 Copyright◎2003-2008 Veelink.com. All Rights Reserved.
广州商务地址:广东省广州市黄埔大道中203号(海景园区)海景花园C栋501室
= 深圳商务地址:深圳市宝源路华丰宝源大厦606
研发中心:广东广州市天河软件园海景园区 粤ICP备05103322号 工商注册