David Airey是小有名气的设计师,他的很多业务是直接来自他的个人网站davidairey.com的。正因为如此,黑客想劫持他的域名,再高价卖回给他。那黑客是怎样做到的呢?答案是利用Gmail的XSS漏洞(注:Google官方暂时还没有出来证实这一点,但目前有大量的第三方证据),更改了Gmail的过滤器设置,将与域名转移有关的邮件偷偷地转到了自己的邮箱里,然后在David Airey发觉之前,完成了域名的转移。之后,黑客更主动发邮件给David Airey,开价让他卖回自己的域名。而David Airey很气愤,决定不给黑客一分钱(其实黑客最高只开价650美元,其后更主动降价至250美元),欲通过法律手段解决。并且,他把整个事件的详细经过写上了他新开的网站Davidairey.co.uk上,以提醒所有Gmail用户。详细的过程可见此。
这的确是一件很令人同情的事件,尽管可能由于圣诞假期的缘故,Google还没有官方人员作出回应,但目前已有大量的第三方证据表示,这和Gmail存在的XSS安全漏洞有直接关系。要知道Gmail帐户是极其重要的,因为它几乎是整个Google产品体系的入口,一旦被黑,你的邮件、文档、图片、个人资料等等敏感信息全都会被他人获取。类似这样的事件已发生了多次,尽管每次的原因都尽相同。
我们可以从这次事件中得到怎样的警示呢?答案是马上检查你的Gmail设置里的过滤器列表,看看有没有多了一些额外的过滤器。在上述事件中,黑客之所以能得到David Airey的邮件,就是利用漏洞,在Gmail里设置了一个过滤器,将目标邮件转移了。当然,利用漏洞,黑客可以做更多的事,但这种更改过滤器的手段,却是最不容易令人察觉的,因为一般情况下,用户都不会天天去检查自己的过滤器列表。此外,当然就是不要轻易访问陌生的网页,以防中招。但一旦Gmail真的有这种漏洞,那么用户也只会防不胜防,无能为力了。
Gmail 垃圾邮件过滤器出现安全问题
- 出处:中国安全网 作者:佚名 时间:2007-12-28 网址:http://www.securitycn.net