11月25日消息,據(jù)安全研究人員Brandon周日在GeekCondition.com發(fā)表的一篇文章指出,谷歌Gmail存在一個安全漏洞,因此黑客可能會在用戶不知情的情況下在用戶電子郵件賬戶上設(shè)置過濾器。
Brandon在文章中指出,該漏洞已經(jīng)導(dǎo)致某些用戶丟失了他們在GoDaddy.com注冊的域名。
但是Brandon沒有公開如何利用這個安全漏洞發(fā)起攻擊的詳細(xì)資料,只是指出攻擊的關(guān)鍵在于獲取代表用戶名和@的變量。
用戶在Gmail賬戶里設(shè)置過濾器時,會向谷歌的服務(wù)器發(fā)出一條請求指令。這個請求指令是以URL的形式存在,包含許多變量。 處于安全方面的原因,瀏覽器不會顯示URL中包含的所有變量。但是如果使用火狐以及一款名為Live HTTP Headers的插件,就可以看到瀏覽器發(fā)送到谷歌服務(wù)器的全部變量。
之后,黑客只要找出代表用戶名的變量即可。
Brandon表示:“獲得這些變量的過程很復(fù)雜,但是并不是不可能的。我不打算告訴你怎么做,但是如果你在網(wǎng)絡(luò)上搜索一下,你就會知道方法。”
Brandon表示,@變量可以通過訪問惡意網(wǎng)站獲得,他建議谷歌在每一條指令發(fā)出之后立刻讓該變量過期,而不是等到進程結(jié)束之后再過期。
為了避免成為這個漏洞的受害者,Brandon建議用戶們經(jīng)常檢查過濾器設(shè)置。他表示,火狐用戶還可以下載一款名為NoScript的插件來防止受到攻擊。
當(dāng)然,任何利用cookies來要求驗證的網(wǎng)站都可能被黑客以同樣的方式利用。 為了避免成為這類攻擊的受害者,Gmail用戶在使用完郵箱后應(yīng)通過正常方式注銷。此外,用戶們最好不要訪問不信任的網(wǎng)站。
谷歌代表沒有立即回復(fù)記者的咨詢。
