谷歌修复了一个允许Gmail收件箱欺骗电子邮件收件人的漏洞

大约3周前，我们报告了安全研究员Eli Gray发现的Gmail收件箱欺骗漏洞。这一设计缺陷允许构建恶意mailto链接，该链接将通过自动在地址栏中填写姓名而不显示实际的电子邮件目的地来欺骗电子邮件收件人，除非用户在发送前手动检查。Gmail收件箱分析mailto链接的方式可能会导致该漏洞被利用。今天，我们注意到Gmail团队的“收件箱”已经修复了这个问题，因为电子邮件收件人现在可以清楚地显示给用户了。

正如你在上面的截图中看到的，这个问题现在已经解决了。以前(左)只显示收件人的姓名，但现在(右)向用户显示姓名和目标电子邮件地址。让我们以这个mailto链接为例来演示一下这个问题：之前邮件收件人显示为“support@paypal.com”，但实际上邮件会发送到scammer@phishing.fakewebsite(这显然不是真实地址。)

我们已经联系了谷歌，以确认所有的Gmail收件箱用户已经安装了这个修补程序。这个问题显然已经存在了一段时间，但很高兴看到谷歌试图解决它。收件箱应该通过整理电子邮件收件箱，提供智能管理我们邮件的工具，让我们的生活变得更加轻松，所以我们可以看到这样的问题是如何轻易欺骗大量收件箱用户的。

标签：