Gmail溢出漏洞 可导致长域名劫持

GeekCondition最近的一篇文章称，Gmail的一处漏洞允许不法分子进入并操纵你的Gmail账户。该漏洞再次抬头。 Philipp Lenssen今天早上在Blogoscoped 发表的一篇文章引起了我们对该溢出漏洞的注意，2007年12月，David Airey 的网站也被利用类似的漏洞劫持过。很多人都认为Google已经修复了该漏洞，但是漏洞现在依然存在。

Gmail 溢出（Exploit）漏洞运行原理

如果你登陆Gmail账户，并且访问恶意网站，就可能发生溢出。不管该链接是否通过Gmail账户点开，该恶意网站都会得到你的内部资料。

接着恶意网站会在你不知道的情况下建立自动过滤，将你的email转向其他的email账户。虽然这些都发生在Google服务器上，但直到你查看邮件过滤时才会恍然大悟。

当得到私人信息之后，这个溢出漏洞会暴露所有将来的Gmail邮件。MakeUseOf指出，如果你的Gmail注册资料和某个注册域名的联系资料相同，那么在你不知道的情况下，通过账户恢复和密码重置工具，你的域名可能被劫持，并且处于待赎回状态。

时间表：Google如何应对该漏洞？

2007年9月25日

GNUCitizen的Petko D. Petkov认为Gmail有一个安全漏洞，并对跨站请求假冒溢出（cross-site request forgery exploit）进行了部分描述。

2007年9月28日

根据Google已经修复该漏洞的说法，GNUCitizen在原贴中加入考证内容。

2007年10月1日

ZDNet 发表了一篇由卡巴斯基实验室布道者Ryan Naraine撰写的文章，认为溢出漏洞已经得到了修补，但是仍针对Google的建议提出，人们应该检查Gmail过滤，因为该补丁没有除掉已经泄露的过滤。

November 20, 2007年11月20日

David Airey's的网站被劫持、重定向，并处于待赎回状态。 Airey 称这是9月份GNUCitizen曝光的Gmail溢出漏洞导致的。

2008年11月2日

不法分子劫持MakeUseOf的域名 并指向一个寄放域名（parked domain）。主编Aibek确认了攻击，并称黑客通过在Gmail里设置转发过滤获得了域名信息。

怎么办

Aibek在最近的一篇文章中详细介绍了MakeUseOf劫持事件 并提出四点建议：

检查你的邮箱过滤，并禁止IMAP协议。

不要把Gmail用于敏感资料联系方式（改变所有和当前敏感账户相关的邮件资料）

在注册域名时一定要升级到私人域名注册

在不认识发件人的情况下不要点开邮件连接，或者先退出账户。

Geekamongus 还建议加密浏览器连接，在Gmail的主设置页面可以找到。

记住，打开新的标签页，或者换个浏览器都不管用，你仍然有可能受到攻击。在YCombinator进行的一次讨论建议FireFox用户在不同的浏览模式下使用Gmail。你还应该考虑使用不同的浏览器登陆Gmail。

显然这是一个尚未解决的问题，但是至于是新的溢出漏洞抑或是原来的问题我们不得而知。不管怎样，你都应该检查所有Gmail账户的邮件过滤，确保里面只有你设定的过滤。

我们读写网的人喜欢Google的Gmail，并且经常撰写相关的文章。我们还讨论过Google对用户的抱怨缺乏反馈，以及Google在过去利用Gmail干过的糗事。 但是我们希望Google应该非常重视电子邮件的安全问题。

当然，如果所有的网络服务提供商都免费提供私人注册服务，将其作为服务标准，那么这个问题也没什么大不了。但这是另外一回事。