Google漏洞可偽造域名郵箱釣魚

近日Google Apps for Work曝出一個漏洞，攻擊者可以利用該漏洞偽造任意網站的域名郵箱，冒充公司雇員給受害人發送釣魚郵件。

Google的域名郵箱服務

如果你想弄一個類似admin@ooxx.com的DIY郵箱來代替Gmail，那么你就可以試試在Google Apps for Work注冊個賬戶。

從Google服務中獲取一個自定義的域名電子郵箱，只需要注冊一個gmail賬戶。一旦創建賬戶以后，你可以通過Google應用提供的相應接口，直接操作你的域名管理面板。當然，只有你從在Google那里取得域名認證后，才能正常使用域名郵箱服務。

偽造域名郵箱釣魚

安全研究人員Patrik fehrenbach和Behrouz sadeghipour發現，攻擊者可以通過Google任意注冊一個域名郵箱，只要它沒有在Google應用服務中使用過。

正常情況下，在你域名認證完 成之前，Google不會讓你正常使用admin@ooxx.com之類的DIY郵箱。但Google應用的某個頁面存在一個漏洞：Google上注冊的 域名管理者無論是否進行了域名認證，都可以發送一個“登錄指令”（Sign in Instructions）給域名郵箱成員，比如info@ooxx.com。

先決條件就是該域名郵箱用戶必須是在此之前注冊的，構造的url請求如下：

https://admin.google.com/EmailLoginInstructions?userEmail=info@ooxx.com

利用該特定的email接口，攻擊者可以偽造域名郵箱，發送任意包含惡意鏈接的釣魚郵件給受害目標，然后騙取他們的私密信息諸如密碼、商業信息等等。

如下圖所示，攻擊者成功冒充admin@vine.com（現已被Twitter收購）發送釣魚郵件給受害人，騙取他們點進釣魚網站，提交Twitter的賬戶信息。

我們認為，Google應該自動幫助用戶識別垃圾郵件，或者是警示從偽造的合法來源（如Google官方或者銀行）發來的釣魚信息，但是他們沒有做到這些。
黑客通過利用這個漏洞可以就地取材，直接利用Google的服務器，給受害人發送沒有任何警示信息的釣魚郵件。

[參考來源thehackernews，由FreeBuf小編dawner翻譯整理，轉載請注明來自FreeBuf黑客與極客]