Gmail垃圾郵件過濾器出現安全問題
Gmail是優秀的,甚至從垃圾郵件過濾能力及功能上看,它可能是最優秀的,但它並不是完美的。這聽起來像是廢話,但事實上,Gmail之所以不完美,最主要的原因是它依然存在著不少安全漏洞。除去用戶密碼保護環節薄弱及取回密碼步驟繁瑣不說,Gmail一直以來都被發現有XSS安全漏洞。簡單地說,當你不小心防問了某些網頁後,你的Gmail設置可能會被修改了,而你一無所知。不相信?英國著名的圖像設計師David Airey就是因為Gmail的這種漏洞而在本月失去了他的域名。
David Airey是小有名氣的設計師,他的很多業務是直接來自他的個人網站davidairey.com的。正因為如此,黑客想劫持他的域名,再高價賣回給他。那黑客是怎樣做到的呢?答案是利用Gmail的XSS漏洞(註:Google官方暫時還沒有出來證實這一點,但目前有大量的第三方證據),更改了Gmail的過濾器設置,將與域名轉移有關的郵件偷偷地轉到了自己的郵箱裡,然後在David Airey發覺之前,完成了域名的轉移。之後,黑客更主動發郵件給David Airey,開價讓他賣回自己的域名。而David Airey很氣憤,決定不給黑客一分錢(其實黑客最高只開價650美元,其後更主動降價至250美元),欲通過法律手段解決。並且,他把整個事件的詳細經過寫上了他新開的網站Davidairey.co.uk上,以提醒所有Gmail用戶。詳細的過程可見此。
這的確是一件很令人同情的事件,儘管可能由於聖誕假期的緣故,Google還沒有官方人員作出回應,但目前已有大量的第三方證據表示,這和Gmail存在的XSS安全漏洞有直接關係。要知道Gmail帳戶是極其重要的,因為它幾乎是整個Google產品體系的入口,一旦被黑,你的郵件、文檔、圖片、個人資料等等敏感信息全都會被他人獲取。類似這樣的事件已發生了多次,儘管每次的原因都盡相同。
我們可以從這次事件中得到怎樣的警示呢?答案是馬上檢查你的Gmail設置裡的過濾器列表,看看有沒有多了一些額外的過濾器。在上述事件中,黑客之所以能得到David Airey的郵件,就是利用漏洞,在Gmail裡設置了一個過濾器,將目標郵件轉移了。當然,利用漏洞,黑客可以做更多的事,但這種更改過濾器的手段,卻是最不容易令人察覺的,因為一般情況下,用戶都不會天天去檢查自己的過濾器列表。此外,當然就是不要輕易訪問陌生的網頁,以防中招。但一旦Gmail真的有這種漏洞,那麼用戶也只會防不勝防,無能為力了。
