據(jù)外媒報道，日前，來自巴基斯坦的一名學(xué)生、安全研究員在Gmail上發(fā)現(xiàn)了一個嚴重的漏洞，它能讓郵箱賬號遭到輕松破解。據(jù)了解，該漏洞跟Google的Gmail主賬號和其他郵箱賬號綁定處理方式有關(guān)，在Google修復(fù)該問題之前，黑客只需采取幾個步驟就可能拿下某位用戶賬號的使用權(quán)。如果黑客知道了某位用戶跟Gmail賬號綁定的二級郵箱賬號，那么他只需要向特定收件人發(fā)送一封賬號驗證郵件即可獲取主賬號。

發(fā)現(xiàn)者Ahmed Mehtab列出了詳細的漏洞利用條件：

收件人的SMTP處于離線狀態(tài)；

收件人已停用其郵箱；

收件人不存在；

收件人存在但已屏蔽發(fā)件人。

在HackRead上Uzair Amir分享了該種攻擊具體的實施過程：攻擊者企圖通過向Google發(fā)送郵件獲取某一郵箱賬號的所有權(quán)。Google會向被目標郵件地址發(fā)送一封認證郵件。但由于該郵箱賬號無法收取該封郵件，于是賬號就會發(fā)回到實際發(fā)送者（即黑客）手中，（此時）郵件中則還提供了驗證碼。黑客就可以利用這個驗證碼并獲得該賬號的所有權(quán)。

Mehtab則以更加具體的形式解釋說明了該攻擊過程：

攻擊者試圖獲取xyz@gmail.com的所有權(quán)；

Google向xyz@gmail.com發(fā)送確認郵件；

由于xyz@gmail.com無法收取郵件，于是郵件被退還至Google系統(tǒng)；

Google向黑客發(fā)送失敗通知郵件并且在當中提供了驗證碼；

黑客獲得驗證碼然后拿下了xyz@gmail.com的所有權(quán)。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。