谷歌Gmail爆MITMA漏洞 或使垃圾郵件泛濫

    5月13日消息，昨日安全人員在谷歌Gmail郵箱中又發(fā)現(xiàn)一個新漏洞，該漏洞有可能使Gmail成為一個高傳播性的垃圾郵件機(jī)器。

    據(jù)國外媒體報道，信息安全研究團(tuán)隊（INSERT）日前表示，Gmail郵件服務(wù)可能會受到“中間人（man-in-the-middle）”攻擊，成千上萬份的垃圾游戲可通過Gmail發(fā)送，而發(fā)送者卻不會被發(fā)現(xiàn)。

    Gmail存在安全漏洞是導(dǎo)致垃圾郵件大肆泛濫的原因之一，但也不排除其它外在原因使得這一現(xiàn)象愈演愈烈。目前，垃圾郵件數(shù)量呈急劇膨脹的勢頭，垃圾郵件幾乎占據(jù)了全部郵件流量中的95％.大多數(shù)郵件服務(wù)商采取了黑名單郵件過濾技術(shù)，即在郵件服務(wù)器中將一些可疑的郵件地址列為被過濾的對象，但服務(wù)器同時也建立信賴郵件地址列，而谷歌的Gmail當(dāng)然被列在其中，這樣來自Gmail的郵件通?？梢韵硎茌^高的待遇，能夠“暢通無阻”，這無疑為垃圾郵件的傳播創(chuàng)造了更大的便利條件。

    INSERT的測試顯示，同樣的郵件內(nèi)容，如果源自一個被列入黑名單的IP地址，那么這份郵件根本就到不了用戶的郵箱，然而同樣一份郵件，如果通過Gmail發(fā)送則幾乎可以暢通無阻。這里并沒有對郵件源過濾技術(shù)進(jìn)行批評的技術(shù)，而是在強(qiáng)調(diào)，一家具有較高信任度的郵件服務(wù)的一個漏洞對整個郵件生態(tài)環(huán)境的影響是如何嚴(yán)重。

    附：MITMA（man in the middle attack），中間人攻擊，是一個攻擊者使用公鑰交換來攔截消息并且轉(zhuǎn)發(fā)它們，然后取代他自己的公鑰發(fā)送給被請求的一方，以致于原始的雙方表面上看起來仍然還是相互通信，攻擊者從球類游戲中得到它的名字，即兩個人試圖相互直接仍一個球給對方，然而在這兩個人中間有一個人試圖去抓住這個球。在這個MITMA中入侵者使用一個表面上看起來是從服務(wù)器到客戶端但看起來又像是從客戶端到服務(wù)器端的應(yīng)用程序。這種攻擊可能被使用在簡單的獲得訪問消息的權(quán)利，或者能使得攻擊者在轉(zhuǎn)發(fā)消息之前先修改消息。