谷歌在 Gmail 漏洞公布七小时后部署了缓解措施

早在 4 个月前，安全研究员 Allison Husain 就已经向谷歌通报了一个影响 Gmail 或 G Suite 客户的电子邮件欺诈漏洞。遗憾的是，尽管给足了 137 天的时间，谷歌仍选择拖到 9 月份的某个时候再修复这个 Bug 。讽刺的是，在 Allison Husain 将详情公布后不久，谷歌团队就于 7 小时内在服务器端部署了缓解措施，以便能够撑到 9 月的正式修复。

http://hackernews.cc/wp-content/uploads/2020/08/Gmail.png

据悉，该漏洞使得攻击者可发送模仿任何 Gmail 或 G Suite 客户的欺骗性电子邮件。

此外 Allison Husain 指出，该 bug 还使得邮件附件能够骗过发件人策略框架（SPF）和基于域的消息身份验证（DMARC）这两项最先进的邮件安全标准。

http://hackernews.cc/wp-content/uploads/2020/08/Google_Backend.png

遗憾的是，搜索巨头在漏洞修复上有些不够积极，甚至一度想拖到 9 月份再正式修复。直到 Allison Husain 于自己的博客上披露了概念验证漏洞代码，谷歌工程师才于昨日改变了主义。

博文上线 7 小时后，谷歌向 Allison Husain 表示，该公司已在服务器端部署了缓解措施。

http://hackernews.cc/wp-content/uploads/2020/08/记录.png

至于这个 Gmail（G Suite）Bug 本身，实际上是两个因素的结合，首先是攻击者可将欺骗性的电子邮件发送到后端网关。

其次是利用自定义邮件路由规则、以接收传入的电子邮件并将其转发，同时借助变更收件人的本地功能来骗过 Gmail 或 G Suite 客户。

http://hackernews.cc/wp-content/uploads/2020/08/Timeline.png

利用此功能转发的好处是，Gmail / G Suite 会遵从 SPF 和 DMARC 安全标准来验证欺骗性转发的电子邮件。因源于 Google 后端，其垃圾邮件评分也可能较低，从而减少了被过滤系统拦截的可能。

Allison Husain 指出，这两个 bug 都是谷歌独有，如果漏洞未得到及时修补，其很有可能被恶意邮件发送者滥用。庆幸的是，通过在服务器端部署缓解措施，用户这边无需执行任何附加操作。

（稿源：cnBeta，封面源自网络）