圖片來源: 

Tim Cotten

一名軟體開發人員Tim Cotten在上周發現Gmail程式含有一臭蟲,只要在寄件者中以<object> 、 <script> 或<img>等標籤替換部份文字,在對方收到信件時,所看到的寄件者資訊是完全空白的,成為名符其實的幽靈郵件。

Cotten表示,使用者不只在收件匣中看不到寄件者的資訊,點進郵件之後,或者是嘗試回覆郵件,都不會顯示寄件者資訊;就算是按下「顯示原始郵件」之後,寄件者資訊仍是空白的,必須要往下移至「下載原始郵件」,才能看到寄件人資訊。

這代表Google確實紀錄了寄件人資訊,只是未能如實呈現, Cotten認為這是Gmail的使用者經驗(UX)出了問題,雖然此一漏洞看來似乎無害,但駭客很可能藉此假冒為知名業者,撰寫偽造成官方來源的郵件主旨與內容,執行網釣攻擊。

Cotten已向Google回報他的發現,但尚未收到Google的回應。


Advertisement

更多 iThome相關內容