谷歌Gmail认证存在漏洞,邮件账户可人被劫持

巴基斯坦白帽黑客学生发现了Gmail验证过程中可致电子邮件账户被劫持的漏洞，因此他可能获得谷歌2万美元漏洞奖励。

谷歌喜欢给新手程序员、白帽黑客和安全研究人员机会参与漏洞奖励项目，来证明他们的技术和能力，已经是众所周知的事实了。谷歌Play、Chrome Web 商店或iTunes上现有或最新的应用、插件、软件和操作系统，都是谷歌邀请全球研究人员挖掘漏洞的目标。作为回报，成功挖出漏洞者将会收获一定奖励。此类项目的核心宗旨，就是让谷歌的应用和系统更加安全。

然而，具备谷歌漏洞奖励项目(VRP)中选资格并非易事，所发现的漏洞必须落入以下列出的几种分类里：

·跨站脚本

·跨站请求伪造

·混合内容脚本

·身份验证或授权缺陷

·服务器端代码执行漏洞

只要漏洞被验证有效，黑客最高可获得2万美元的谷歌奖励。

艾哈迈德·麦哈塔布，Security Fuss 首席执行官，一名巴基斯坦学生，有机会获得此奖励。麦哈塔布发现了Gmail身份验证方法中的缺陷。

谷歌漏洞奖励计划中艾哈迈德·麦哈塔布的文档

如果某用户拥有多个电子邮件地址，谷歌允许用户关联所有邮件地址，还允许主账户的邮件被转发到从属账户中。麦哈塔布发现了谷歌切换和关联邮件地址所采用的验证绕过方法中存在的固有缺陷，该缺陷可导致邮件ID在以下情况发生时被劫持：

·收件人SMTP离线

·邮箱被收件人停用

·收件人不存在或是无效电邮ID

·收件人存在但已屏蔽了发件人

劫持过程如下：

攻击者通过给谷歌发信来验证某邮件地址所有权状态。谷歌向该地址发送邮件进行确认。该邮件地址无法收取验证邮件，于是，谷歌的邮件被发回给实际发件人，而这次，里面带上了验证码。该验证码将被黑客利用，邮件地址的所有权被确认。

巴基斯坦黑客因报告安全漏洞获此大额奖金也不是第一次了。之前，安全研究员拉法·俾路支就因报告Chrome和火狐浏览器关键漏洞而获5千美元漏洞奖励，还因曝光PayPal服务器任意指令执行漏洞而获1万美元。

相关资讯：

Gmail安全再升级:Google将对未加密邮件提出警告

为了应对未来一些可能的新的信息安全威胁,进一步强化Gmail用户通信安全,Google正在开发能警告用户未加密信件的工具,并预计在未来几个月陆续续部署。

100万Gmail邮箱遭政府黑客攻击,谷歌进一步提升邮箱安全警示

谷歌确认最近有100万的Gmail账户被政府黑客攻击,他们已经采取措施提升邮箱安全警示服务,保护用户免受政府黑客和监视活动的攻击。

美国政府要求引渡被捕华裔黑客:用Gmail通信内容被美国特工看光

美国要求引渡2014年在加拿大被捕的华裔黑客苏斌,他被指控多起数据窃取事件。有意思的是2013年黑客苏斌在与人联系时使用的是Gmail和Hotmail邮箱内容被已经怀疑他多时的...