|
||||
北京時間11月24日消息,據國外媒體報道,安全研究人員布蘭頓(Brandon)周一指出,谷歌Gmail電子郵件服務存在安全漏洞,允許黑客在用戶毫不知情的情況下創建惡意帳戶過濾器。
布蘭德稱,當用戶為Gmail帳戶創建過濾器時,會向谷歌服務器發送一個請求。該請求以URL形式存在,並伴隨很多變量。出於安全因素考慮,瀏覽器通常不會顯示全部變量。
但使用FireFox和Live HTTP Headers插件即可看到全部變量。黑客獲得這些信息後,可通過這些變量識別出用戶名。通過創建惡意過濾器,黑客可盜取用戶在域名注冊機構GoDaddy注冊的域名。
黑客首先登錄GoDaddy的『重新獲取用戶號碼』頁面,輸入域名地址後,GoDaddy會把『用戶號碼』發送到用戶電子郵件中。由於已經建立了過濾器,黑客獲得該號碼後,再返回GoDaddy的『重新獲取密碼』頁面,輸入『用戶號碼』後,GoDaddy又將把密碼發送到用戶電子郵件中。這樣,黑客就擁有了該域名的用戶號碼和密碼。
目前,已經有Gmail用戶表示,他們在GoDaddy上注冊域名丟失。對此,布蘭頓表示,為避免該問題,用戶應該經常檢查帳戶過濾器。對於Firefox用戶,可以下載NoScript擴展防止攻擊。