一位开发人员发现,Gmail的电子邮件处理功能创建了一个方便的钓鱼网站来攻击Netflix客户。
问题在于Netflix和大多数系统一样,可以识别电子邮件句柄中的点(因此richardchirgwin和richard.chirgwin是不同的帐户) - 但Gmail不支持。
在周末,开发人员James Fisher 在这里描述了他的经历:他从Netflix收到一封发给james.hfisher@gmail.com的合法电子邮件,表示Gmail有助于将其重定向到他的无点帐户。
由于电子邮件到达了正确的收件箱,并且它确实来自Netflix,所以Fisher更易接受更新他详细信息的要求。
如果有人不小心将点添加到您的地址,Gmail仍会向您发送该电子邮件。例如,如果您的电子邮件地址为johnsmith@gmail.com,则您拥有地址的所有虚线版本:
john.smith@gmail.com jo.hn.sm.ith@gmail.com j.o.h.n.s.m.i.t.h@gmail.com
Fisher写道,这会创建钓鱼向量:如果攻击者多次尝试,他们会找到一个已经存在Gmail注册的Netflix帐户,并且可以在Gmail地址中使用额外的点注册另一个帐户。
如果攻击者使用“一次性”卡号注册,然后取消该卡,Netflix将通过电子邮件向“真实”Gmail帐户持有人索要有效的卡片。攻击者只需要接收者在不注意到差异的情况下,以此欺骗接受者为其流媒体付费。
安全专家Bruce Schneier 评论说这个问题很微妙:“这是一个两个系统没有安全漏洞,但一起创建却产生安全漏洞的例子。”
Fisher提出了两种解决方法:谷歌可能会警告Gmail用户,电子邮件已发送至“非标准”地址,并且应让用户选择退出“点无关紧要”功能。
他补充说,他认为该功能应该被取消。不过,谷歌已将其推广为一项有用的功能。
领取专属 10元无门槛券
私享最新 技术干货