Gmail爆惊人漏洞,Zalgo可关闭账户

信息安全公司We Are Segment发现一个Gmail中的弱点,『扭曲』的讯息可以关掉世界上最知名的网页邮件服务。

Interlogica集团旗下信息安全公司We Are Segment的研究员发现一个Gmail的弱点。

上个月这间意大利公司由于发现 Tormoil (Tor浏览器) 弱点而上了头条。

Gmail的漏洞被白帽黑客Roberto Bindi发现,该漏洞可能透过向受害者发送特制讯息来阻止用户存取他/她的电子邮件地址,从而利用该漏洞关闭Gmail。

公司发布的新闻稿:『这个测试是出于好奇。Roberto想看如果一段Zalgo文字被注入到网页浏览器会发生什么。』

Zalgo文字是一种由字符和特殊字符(字母、数字与其他符号)组成的文字类型,由于标准Unicode组合器产生的效果,它们横向延伸 - 在原文的上方和下方。

由专家进行的第一个实验表明,插入包含大量特殊字符(大于1000000)的Zalgo文字(其他也可以由网站应用程序产生)引起浏览器崩溃,即关闭网页浏览器几分钟。

尽管已经有了有趣的结果,Roberto Bindi并没有就停留在那里,他决定再次透过Gmail发送Zalgo文字,期待另一个浏览器崩溃,不幸的是,他甚至无法想象这个测试会有什么样的结果。

他设法发现的东西超出了他的想象:『不是浏览器崩溃;相反的,这次是Gmail本身。收件人有效地收到了电子邮件,但他无法打开它,过了一会,Gmail关闭并显示『Error 500』讯息(由于不明原因导致内部服务器故障,如不可回朔的程序代码错误)。

这位年轻的研究员设法找到一个技术手段来绕过这个阻碍,并重新启动电子邮件账号,以重复实验并验证Gmail关闭的持续时间。他发现这个账号连续四天都下线了。

自有了这个发现之后,Roberto决定联系Google的团队。几个星期后,Google的团队沟通说他们已经开始研究这个问题。

Roberto Bindi解释:『透过发送一系列特殊字符,Google的邮件系统停止工作后,我开始担心这个漏洞可能造成的后果和损害。一个恶意的人可能会透过发送一封简单的电子邮件来阻挡电子邮件账号,如『purchases@...』或其他工作上的电子邮件。』

『这就是为什么我的公司决定只有在Google解决问题之后发布这一则消息。我们的选择是基于道德规范,它反映了我们公司的道德规范,强调WeAreSegment是由道德黑客组成的。』

研究人员Roberto Bindi发现的这个Gmail漏洞说明了研究是网络安全最重要的面向之一。

We Are Segment的执行长Filippo Cavallarin说:『感谢这件事,我们可以直接为改进全球网络安全做出贡献。』

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20180112G0BMTA00?refer=cp_1026

扫码关注云+社区