11月25日消息,据安全研究人员Brandon周日在GeekCondition.com发表的一篇文章指出,谷歌Gmail存在一个安全漏洞,因此黑客可能会在用户不知情的情况下在用户电子邮件账户上设置过滤器。
Brandon在文章中指出,该漏洞已经导致某些用户丢失了他们在GoDaddy.com注册的域名。
但是Brandon没有公开如何利用这个安全漏洞发起攻击的详细资料,只是指出攻击的关键在于获取代表用户名和@的变量。
用户在Gmail账户里设置过滤器时,会向谷歌的服务器发出一条请求指令。这个请求指令是以URL的形式存在,包含许多变量。 处于安全方面的原因,浏览器不会显示URL中包含的所有变量。但是如果使用火狐以及一款名为Live HTTP Headers的插件,就可以看到浏览器发送到谷歌服务器的全部变量。
之后,黑客只要找出代表用户名的变量即可。
Brandon表示:“获得这些变量的过程很复杂,但是并不是不可能的。我不打算告诉你怎么做,但是如果你在网络上搜索一下,你就会知道方法。”
Brandon表示,@变量可以通过访问恶意网站获得,他建议谷歌在每一条指令发出之后立刻让该变量过期,而不是等到进程结束之后再过期。
为了避免成为这个漏洞的受害者,Brandon建议用户们经常检查过滤器设置。他表示,火狐用户还可以下载一款名为NoScript的插件来防止受到攻击。
当然,任何利用cookies来要求验证的网站都可能被黑客以同样的方式利用。 为了避免成为这类攻击的受害者,Gmail用户在使用完邮箱后应通过正常方式注销。此外,用户们最好不要访问不信任的网站。
谷歌代表没有立即回复记者的咨询。