最新安全报告指出,Gmail内含某种“严重的安全漏洞”,把Google这项电子邮件服务变成一架垃圾邮件发送机。
信息安全研究团队(INSERT)已制作出概念验证(proof of concept)程序,利用电邮服务提供者之间的“信赖阶层”(trust hierarchy)安全漏洞。利用Google转传讯息功能的安全漏洞,垃圾邮件滥发者可透过Google的SMTP服务发送成千上万封大宗邮件,避开Google以500封为限的电邮传送上限,以及伪造身分防护机制。
这份报告指出,随着垃圾邮件数量日增,电邮服务提供者转向“白名单”(whitelists)和黑名单,以便封锁已知垃圾邮件发送者的IP。因为Gmail被归为可信赖白名单的类别,以Gmail发送的电邮讯息便获得“空白委任状”,得以避开垃圾邮件过滤检查。
INSERT的报告显示,利用这项安全漏洞不需特别的网络知识与技巧:
此概念验证攻击显示,即使不具有特别网络存取权限的任何人,只要能连上SMTP (TCP port 25) 和HTTP (TCP port 80)服务,即可利用一个Gmail账号,存取Google名列白名单的庞大SMTP转信设施,而且存取几乎不受限制。
Google未对这项报告发布正式评论。
Gmail不是垃圾邮件滥发者第一个下手的Google工具。早在4月间,我的同事Elinor Mills就披露过,他们如今也利用Google Calendar滥发垃圾信。