Gmail安卓APP中的漏洞使得任何人都可以发送欺诈邮件

安全研究人员Yan Zhu在Gmail安卓APP中发现了一个有趣的漏洞，该漏洞可以让任何人发送一封电子邮件，而使该邮件看起来是其他人发送的，这很可能会为网络钓鱼者们打开一扇恶意活动之门。

Gmail安卓APP中存在邮件欺诈漏洞

这种活动我们称之为电子邮件欺骗—篡改电子邮件头，这样电子邮件看起来是来自其他人的，而不是实际的发件人。通常来说，为了篡改电子邮件地址，攻击者需要：

1、一个工作的SMTP（简单邮件传输协议）服务器来发送电子邮件

2、一款邮件发送软件

然而，一位独立安全研究员Yan Zhu在官方Gmail安卓APP中发现了一个类似的漏洞，该漏洞允许隐藏她真实的电子邮件地址，并在账户设置中改变她的显示名称，这样接收者将无法知道真实的发送者。

如何通过Gmail安卓APP发送欺诈邮件？

为了展示她的发现，Zhu通过改变她的显示名为yan""security@google.com"（增加了一个引号）向其他人发送了一封电子邮件。你可以看到下面Zhu在她的Twitter上发表的截图。


Zhu向Motherboard解释道：

“这个额外的引号（在显示名称中）触发Gmail应用中的一个解析错误，导致真正的电子邮件不可见。”

一旦接收者收到这封邮件，邮件地址将诱使接收者相信邮件发自一个合法的Gmail安全团队，但实际上并不是这样。

谷歌：这个缺陷不是一个安全漏洞

在10月底，Zhu向谷歌的安全团队提交了该漏洞，但是对方否定了她的漏洞报告，并解释道这个bug并不是一个安全漏洞。


虽然邮件欺骗可以被合法地使用，但是因为伪造一封电子邮件地址非常容易，所以垃圾邮件发送者和钓鱼者都将会利用它来危害大众或机构。

如何保护自己免受邮件欺诈

所以，如果你想保护自己免受欺骗信息的干扰，那么你可以按照下面的几种方法来实现：

1、打开垃圾邮件过滤器—几乎每个电子邮件服务都提供垃圾邮件过滤器和垃圾箱，它们可以将欺诈邮件移除到你的垃圾邮件列表中。

2、学习阅读电子邮件消息头及跟踪IP地址—追踪垃圾邮件的来源是一个良好的实践方式。当你收到一封可疑邮件时，打开邮件头并查看发送者的IP地址是否与同一个人之前的邮件地址相同。

3、绝不要点击可疑链接或下载陌生的附件—要一直注意你接收到的邮件，不要点击邮件中的链接或者下载附件。如果收到显示为银行或其他网站发送来的邮件，请直接从浏览器中访问银行官方网站或者其他网站，并登录你的账号来查看他们想向你展示的内容。

4、随时保持电脑上的防病毒软件为最新。