Gmail曝安全漏洞 Google电邮变成垃圾邮件发送机

关键词： GMAIL 安全漏洞 GOOGLE 电子邮件 垃圾邮件

CNET科技资讯网5月14日国际报道 最新安全报告指出，Gmail内含某种严重的安全漏洞，把Google这项电子邮件服务变成一架垃圾邮件发送机。

信息安全研究团队(INSERT)已制作出概念验证(proof of concept)程序，利用电邮服务提供者之间的信赖阶层(trust hierarchy)安全漏洞。利用Google转传信息功能的安全漏洞，垃圾邮件滥发者可透过Google的SMTP服务发送成千上万封大宗邮件，避开Google以500封为限的电邮传送上限，以及伪造身分防护机制。

这份报告指出，随着垃圾邮件数量日增，电邮服务提供者转向白名单(whitelists)和黑名单，以便封锁已知垃圾邮件发送者的IP。因为Gmail被归为可信赖白名单的类别，以Gmail发送的电邮信息便获得空白委任状，得以避开垃圾邮件过滤检查。

INSERT报告显示，利用这项安全漏洞不需特别的网络知识与技巧：

此概念验证攻击显示，即使不具有特别网络访问权限的任何人，只要能连上SMTP (TCP port 25) 和HTTP (TCP port 80)服务，即可利用一个Gmail帐号，存取Google名列白名单的庞大SMTP转信设施，而且存取几乎不受限制。

Google未对这项报告发布正式评论。

Gmail不是垃圾邮件滥发者第一个下手的Google工具。早在4月间曾披露过，Google Calendar如今也被利用滥发垃圾信。