[[175818]]

日前，來自巴基斯坦的一名學(xué)生以及安全研究人員在Gmail上發(fā)現(xiàn)了一個高危漏洞，它可以讓黑客輕松劫持任何Gmail郵箱帳號，這并不是巴基斯坦黑客第一次發(fā)現(xiàn)如此關(guān)鍵的漏洞。

眾所周知，Gmail允許世界各地的用戶使用多個郵件地址，并將其關(guān)聯(lián)或鏈接到Gmail，Gmail允許用戶設(shè)置轉(zhuǎn)發(fā)地址(二級郵箱)，這樣在用戶收到電子郵件的時候，他的轉(zhuǎn)發(fā)郵箱也會收到相同的郵件，事實上，這兩個模塊是最容易受到身份認證和驗證繞過攻擊的。它類似于賬戶接管，不同的就是，黑客可以通過確認郵件的所有權(quán)來劫持Email并發(fā)送郵件。

而此次發(fā)現(xiàn)的漏洞正是跟google的Gmail主賬號和其他郵箱帳號綁定方式有關(guān)。在google未對其做出修復(fù)前，黑客仍可輕松破解Gmail用戶帳號。如果黑客知道了某位用戶跟Gmail賬號綁定的二級郵箱帳號，那么他只要向特定收件人發(fā)送一封驗證郵件即可獲取主賬號。

技術(shù)細節(jié)

有關(guān)該漏洞，在Gmail具體操作中，相關(guān)部分包括了：“賬戶和導(dǎo)入”>“用這個地址發(fā)送郵件”，轉(zhuǎn)發(fā)模塊。這是一個邏輯漏洞，它允許黑客從Gmail中劫持郵件地址。任何與Gmail的SMTP關(guān)聯(lián)或連接的郵件地址都會受到這種安全問題的威脅，它包括@ gmail.com，@ googlemail.com和@ googleemail.com等。眾所周知，不管電子郵件發(fā)送與否，Gmail都會給我們一個郵件發(fā)送的回彈報告，如果我們發(fā)送的郵件地址不存在或者處于離線狀態(tài)，Gmail就會回彈一個主題為“投遞狀態(tài)通知”的郵件，在郵件里會講明投遞失敗的原因。

Mehtab還指出，發(fā)生以下情況中的任何一種，郵件地址就容易被劫持：

1.收件人的SMTP處于離線狀態(tài);

2.收件人已停用了郵箱;

3.收件人不存在;

4.收件人確實存在，但已經(jīng)屏蔽了發(fā)件人。

在以上情況下，收件人不能從黑客的地址接收任何電子郵件，而黑客最需要的就是一個投遞狀態(tài)通知，因為這個通知郵件包含了驗證碼、激活鏈接和一個完整信息，發(fā)送到黑客想關(guān)聯(lián)的地址進行驗證。然后，黑客就可以用驗證碼去驗證和確認電子郵件地址的所有權(quán)，這實際上就是違背了驗證的初衷。這個過程在電子郵件轉(zhuǎn)發(fā)模塊也適用，并且這里也容易受到攻擊。其實，在整個過程中，黑客所想要的就是郵件的回彈。

以下就是該種攻擊具體的實施過程：

攻擊者企圖通過向Google發(fā)送郵件獲取某一郵箱賬號的所有權(quán)。Google會向該郵件地址發(fā)送一封認證郵件進行驗證。但由于該郵箱賬號無法收取該封郵件，于是google的郵件就會發(fā)回到實際發(fā)送者(即黑客)手中，(此時)郵件中則還提供了驗證碼。黑客就可以利用這個驗證碼并獲得該賬號的所有權(quán)。

有這樣一種情形，攻擊者可以通過伎倆欺騙受害者撤銷其賬戶，或者欺騙受害者停用他的(受害者)郵件地址，這樣，他就不能接收來自外部的郵件，如果賬戶擁有者停用賬戶，黑客就可以通過退回的、包含驗證碼的郵件來輕松劫持他的郵件地址。另外，轉(zhuǎn)發(fā)部分的確認也會受到影響。

由于上述文字太累贅，Mehtab用更形象的文字來解釋了整個攻擊過程：

1.攻擊者試圖獲取xyz@gmail.com的所有權(quán);

2.Google會將電子郵件發(fā)送到xyz@gmail.com進行確認;

3.由于xyz@gmail.com無法接收電子郵件，電子郵件會退回給Google;

4.Google會在收件箱中向攻擊者發(fā)送一條包含驗證碼的失敗通知;

5.攻擊者獲取驗證碼并獲得了xyz@gmail.com的所有權(quán)。

在確認所有權(quán)后黑客就可以掌控整個賬戶，用以發(fā)送郵件甚至充當(dāng)間諜。

當(dāng)然，整個過程令人啼笑皆非，Mehtab并沒有得到該有的獎金，但是谷歌又承認了他的調(diào)查結(jié)果并把他列在了 Hall of Fame 的名單中。

文章轉(zhuǎn)載自微信公眾號“柯力士信息安全”