Gmail垃圾郵件過濾器出現安全問題

yumr

Gmail是優秀的，甚至從垃圾郵件過濾能力及功能上看，它可能是最優秀的，但它並不是完美的。這聽起來像是廢話，但事實上，Gmail之所以不完美，最主要的原因是它依然存在著不少安全漏洞。除去用戶密碼保護環節薄弱及取回密碼步驟繁瑣不說，Gmail一直以來都被發現有XSS安全漏洞。簡單地說，當你不小心防問了某些網頁後，你的Gmail設置可能會被修改了，而你一無所知。不相信？英國著名的圖像設計師David Airey就是因為Gmail的這種漏洞而在本月失去了他的域名。


　　David Airey是小有名氣的設計師，他的很多業務是直接來自他的個人網站davidairey.com的。正因為如此，黑客想劫持他的域名，再高價賣回給他。那黑客是怎樣做到的呢？答案是利用Gmail的XSS漏洞（註：Google官方暫時還沒有出來證實這一點，但目前有大量的第三方證據），更改了Gmail的過濾器設置，將與域名轉移有關的郵件偷偷地轉到了自己的郵箱裡，然後在David Airey發覺之前，完成了域名的轉移。之後，黑客更主動發郵件給David Airey，開價讓他賣回自己的域名。而David Airey很氣憤，決定不給黑客一分錢（其實黑客最高只開價650美元，其後更主動降價至250美元），欲通過法律手段解決。並且，他把整個事件的詳細經過寫上了他新開的網站Davidairey.co.uk上，以提醒所有Gmail用戶。詳細的過程可見此。

　　這的確是一件很令人同情的事件，儘管可能由於聖誕假期的緣故，Google還沒有官方人員作出回應，但目前已有大量的第三方證據表示，這和Gmail存在的XSS安全漏洞有直接關係。要知道Gmail帳戶是極其重要的，因為它幾乎是整個Google產品體系的入口，一旦被黑，你的郵件、文檔、圖片、個人資料等等敏感信息全都會被他人獲取。類似這樣的事件已發生了多次，儘管每次的原因都盡相同。

　　我們可以從這次事件中得到怎樣的警示呢？答案是馬上檢查你的Gmail設置裡的過濾器列表，看看有沒有多了一些額外的過濾器。在上述事件中，黑客之所以能得到David Airey的郵件，就是利用漏洞，在Gmail裡設置了一個過濾器，將目標郵件轉移了。當然，利用漏洞，黑客可以做更多的事，但這種更改過濾器的手段，卻是最不容易令人察覺的，因為一般情況下，用戶都不會天天去檢查自己的過濾器列表。此外，當然就是不要輕易訪問陌生的網頁，以防中招。但一旦Gmail真的有這種漏洞，那麼用戶也只會防不勝防，無能為力了。