據美國《連線(xiàn)》雜志6月11日報道,谷歌旗下在全球廣為使用的郵箱服務(wù)Gmail日前曝出一項漏洞,該漏洞使得任何人均可大量獲取Gmail郵箱賬號信息,以達到發(fā)布垃圾郵件甚至是盜取密碼的目的。據悉,該漏洞可能已經(jīng)存在數年之久。
該漏洞由Oren Hafif發(fā)現,這位來(lái)自以色列某安全公司的員工此前曾發(fā)現過(guò)Gmail多項漏洞。Hafif稱(chēng),通過(guò)利用本次發(fā)現的漏洞,在數日或數周內即可獲取數量相當巨大的Gmail郵箱賬戶(hù)。盡管這一漏洞并不能直接竊取賬戶(hù)密碼或是登陸賬戶(hù),但是卻可能會(huì )使用戶(hù)面臨垃圾郵件、網(wǎng)絡(luò )釣魚(yú)或是密碼被盜等風(fēng)險。
該漏洞得以利用的原因在于Gmail有一項少有人知的賬戶(hù)合用功能,即允許用戶(hù)可以“委托”其他用戶(hù)登錄自己的賬戶(hù)。去年11月,Hafif發(fā)現,當試圖通過(guò)“委托”功能登錄他人賬戶(hù)時(shí),只需對跳出的網(wǎng)頁(yè)地址做一點(diǎn)修改,即可獲得一個(gè)其他用戶(hù)的郵箱地址。通過(guò)自動(dòng)修改網(wǎng)頁(yè)地址軟件的幫助,Hafif曾在兩小時(shí)內收集了3萬(wàn)7千個(gè)Gmail郵箱地址。對此,Hafif表示,其有充分的理由相信,可能所有的Gmail郵箱賬戶(hù)都已經(jīng)被收集。此外他強調,該漏洞影響的不僅是個(gè)人郵箱,使用Gmail郵箱的企業(yè)用戶(hù),甚至包括谷歌自己,均會(huì )受到波及。
Hafif表示,谷歌并沒(méi)有使用cookie或是其他認證形式以顯示易受到攻擊的頁(yè)面,因此只需使用匿名軟件,即可大量獲取用戶(hù)賬戶(hù)信息且不會(huì )被察覺(jué)。Hafif稱(chēng),由于Gmail自2010年起開(kāi)始具有“委托”功能,因此該漏洞可能已經(jīng)存在數年之久。至于有多少賬戶(hù)信息已經(jīng)被偷偷收集則不得而知。
谷歌發(fā)言人在接受采訪(fǎng)時(shí)表示,目前已成功修復該漏洞。
