谷歌修复了允许Gmail收件箱中欺骗电子邮件收件人的漏洞

大约3周前，我们报告了安全研究人员EliGray发现的InboxbyGmail欺骗漏洞。此设计缺陷允许构建恶意的mailto链接，该链接将通过自动在地址字段中填充名称而不显示实际的电子邮件目的地来欺骗电子邮件收件人，除非用户在发送之前手动进行了检查。由于InboxbyGmail分析mailto链接的方式可能会利用此缺陷。今天，我们注意到该问题已由Gmail团队的“收件箱”修复，因为现在可以清楚地向用户显示电子邮件收件人。

如您在上面的屏幕截图中所见，该问题现已解决。以前(左)仅显示收件人的姓名，而现在(右)则向用户显示姓名和目标电子邮件地址。我们以该mailto链接为例来演示此问题：以前将电子邮件收件人显示为“support@paypal.com”，但实际上，该电子邮件将发送至scammer@phishing.fakewebsite(这显然不是真实的地址。)

我们已与Google取得联系，以确认Gmail的所有Inbox用户都已安装此修复程序。这个问题显然已经存在了一段时间，但是很高兴看到Google设法解决它。Inbox应该通过整理电子邮件收件箱并提供智能管理我们的电子邮件的工具来使我们的生活更轻松，因此我们可以看到这样的问题如何轻易地欺骗大量Inbox用户。

标签：

免责声明：免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！