安全人员在谷歌Gmail邮箱中又发现一个新漏洞,该漏洞有可能使Gmail成为一个高传播性的垃圾邮件机器。
据国外媒体报道,信息安全研究团队(INSERT)日前表示,Gmail邮件服务可能会受到“中间人(man-in-the-middle)”攻击,成千上万份的垃圾游戏可通过Gmail发送,而发送者却不会被发现。
Gmail存在安全漏洞是导致垃圾邮件大肆泛滥的原因之一,但也不排除其它外在原因使得这一现象愈演愈烈。目前,垃圾邮件数量呈急剧膨胀的势头,垃圾邮件几乎占据了全部邮件流量中的95%。大多数邮件服务商采取了黑名单邮件过滤技术,即在邮件服务器中将一些可疑的邮件地址列为被过滤的对象,但服务器同时也建立信赖邮件地址列,而谷歌的Gmail当然被列在其中,这样来自Gmail的邮件通常可以享受较高的待遇,能够“畅通无阻”,这无疑为垃圾邮件的传播创造了更大的便利条件。
INSERT的测试显示,同样的邮件内容,如果源自一个被列入黑名单的IP地址,那么这份邮件根本就到不了用户的邮箱,然而同样一份邮件,如果通过Gmail发送则几乎可以畅通无阻。这里并没有对邮件源过滤技术进行批评的技术,而是在强调,一家具有较高信任度的邮件服务的一个漏洞对整个邮件生态环境的影响是如何严重。
附:MITMA(man in the middle attack),中间人攻击,是一个攻击者使用公钥交换来拦截消息并且转发它们,然后取代他自己的公钥发送给被请求的一方,以致于原始的双方表面上看起来仍然还是相互通信,攻击者从球类游戏中得到它的名字,即两个人试图相互直接仍一个球给对方,然而在这两个人中间有一个人试图去抓住这个球。在这个MITMA中入侵者使用一个表面上看起来是从服务器到客户端但看起来又像是从客户端到服务器端的应用程序。这种攻击可能被使用在简单的获得访问消息的权利,或者能使得攻击者在转发消息之前先修改消息。
