研究員發現Gmail嚴重漏洞:賬號可輕易破解

據外媒報道，日前，來自巴基斯坦的一名學生、安全研究員在Gmail上發現了一個嚴重的漏洞，它能讓郵箱賬號遭到輕鬆破解。據瞭解，該漏洞跟Google的Gmail主賬號和其他郵箱賬號綁定處理方式有關，在Google修復該問題之前，黑客只需採取幾個步驟就可能拿下某位用户賬號的使用權。如果黑客知道了某位用户跟Gmail賬號綁定的二級郵箱賬號，那麼他只需要向特定收件人發送一封賬號驗證郵件即可獲取主賬號。

發現者Ahmed Mehtab列出了詳細的漏洞利用條件：

收件人的SMTP處於離線狀態；

收件人已停用其郵箱；

收件人不存在；

收件人存在但已屏蔽發件人。

在HackRead上Uzair Amir分享了該種攻擊具體的實施過程：攻擊者企圖通過向Google發送郵件獲取某一郵箱賬號的所有權。Google會向被目標郵件地址發送一封認證郵件。但由於該郵箱賬號無法收取該封郵件，於是賬號就會發回到實際發送者（即黑客）手中，（此時）郵件中則還提供了驗證碼。黑客就可以利用這個驗證碼並獲得該賬號的所有權。

Mehtab則以更加具體的形式解釋説明了該攻擊過程：

攻擊者試圖獲取[email protected]的所有權；

Google向[email protected]發送確認郵件；

由於[email protected]無法收取郵件，於是郵件被退還至Google系統；

Google向黑客發送失敗通知郵件並且在當中提供了驗證碼；

黑客獲得驗證碼然後拿下了[email protected]的所有權。