安全专家 Patrik Fehrenbach 及Behrouz Sadeghipour在Google Apps中发现(现已修复)一个漏洞,允许犯罪分子注册企业域名并从管理地址发送白名单钓鱼邮件。
这一漏洞意味着攻击者可注册一个还未被注册Google Apps for Work的公司名称,随后向似乎来自合法企业域名的成员发送钓鱼邮件。这意味着恶意信息并未被垃圾邮件过滤器过滤。
为了验证这一漏洞,安全专家从未被标为“可疑”的谷歌内容网站ytimg 及gstatic的管理账户发送邮件,结果表明“……如果通过管理控制台认领域名,你会发现它并没有向用户发送警告,而且如果用户检查邮件头的话会发现服务器是一个受信任的服务器。”安全专家在一份安全公告中表示,“所以我们不仅能认领到其它域名,还能成功诱导Google Mail Server接受一个错误的FROM参数。”
攻击依赖于一个正常的认领表,允许用户对一个可能会发送钓鱼邮件的新域名拥有临时访问权限。这些邮件可发送注册指南,但同时也允许包含恶意钓鱼链接。
谷歌随后修复了这一漏洞,方法是将邮件收件地址从管理改为no-reply@google.com,并奖励两名安全研究员500美元作为感谢。
本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士www.codesafe.cn”。