2011年6月7日星期二

Sinocism � Gmail是否从设计上存在根本性的安全缺陷?

核心提示:最近的黑客攻击暴露了GMAIL的账户访问以及转发设置在设计上存在根本性的安全缺陷。Google必须对这些设置的变动提出警示。

来源:Sinocism201164http://goo.gl/D2yGg

作者:Bill Bishop
译者:@irobotc

校对:南山

我是一名生活在中国的GMAIL重度使用者。至今,我的账户还没有被黑过(至少我认为是这样)。因为生活在中国以及读到过的各种关于GMAIL被入侵消息的缘故,我经常检查电子邮件的访问记录以及转发设置,以保证邮箱的设置没有被非法篡改。正如Google在其官方博客上陈述的:

通过我们基于的安全与异常检测系统,最近我们发现了使用诸如钓鱼链接方式收集用户密码的活动。 这些活动源自中国济南,影响了数以百计的GAMIL个人账户,包括美国政府高级官员,中国的政治活动家,亚洲国家的政府官员(主要是南韩),军事人员以及记者。

入侵者显然通过盗取的密码改变了转发与授权的设置,目的是监视这些人的邮件内容。(GMAIL允许自动转发邮件,也可以授权其它人访问邮箱)。

最近的这些攻击暴露了GMAIL的这些功能在设计上存在根本性的安全缺陷。的确,双重认证使得低级的攻击者更难于盗取密码以及访问用户的账户,但是正如这个视频(一个恶意的Adobe Flash文件是如何导致中国侵入GAMIL 显示的那样,黑客们在其它的应用中找到安全漏洞,甚至可以在没有GMAIL密码的情况下,修改GMAIL访问及转发设置。

GoogleGMAIL用户必须意识到,黑客们将持续地攻击GMAIL,并且他们中的一部分会成功。

Google必须对改变账户访问以及转发设置的过程提出警示。如果需要授权其它账号访问或者允许转发,Google应该强制使用双重确认,在这些设置生效之前,要么通过发送一封邮件到辅助电子邮件账号,或者强制要求进行两段式认证。Google还必须在这两项设置发生变化时,发送通知邮件到用户的GMAIL账号(和辅助邮箱账号,如果有的话),告知这些改变。这个消息应该置于收件箱的顶部,并且在一定的时间内是不能被删除的,以保证用户(而不仅仅是可以访问收件箱的入侵者)可以看到。如果用户自己没有作这些修改,那么就会很快明白自己的账户被入侵了。

没有邮件系统是永远安全的,GMAIL也许是它们之中最安全的一个。但是它还仍然不够。

 

0 comments:

发表评论

知识共享许可协议

本作品采用知识共享署名-非商业性使用-相同方式共享 3.0 Unported许可协议进行许可。