早在4個月前，安全研究員Allison Husain就已經向谷歌通報了一個影響Gmail或G Suite客戶的電子郵件欺詐漏洞。遺憾的是，儘管給足了137天的時間，谷歌仍選擇拖到9月份的某個時候再修復這個Bug 。諷刺的是，在Allison Husain將詳情公佈後不久，谷歌團隊就於7小時內在服務器端部署了緩解措施，以便能夠撐到9月的正式修復。

資料圖

據悉，該漏洞使得攻擊者可發送模仿任何Gmail 或G Suite 客戶的欺騙性電子郵件。

此外Allison Husain 指出，該bug 還使得郵件附件能夠騙過發件人策略框架（SPF）和基於域的消息身份驗證（DMARC）這兩項最先進的郵件安全標準。

遺憾的是，搜索巨頭在漏洞修復上有些不夠積極，甚至一度想拖到9 月份再正式修復。直到Allison Husain 於自己的博客上披露了概念驗證漏洞代碼，谷歌工程師才於昨日改變了主義。

博文上線7 小時後，谷歌向Allison Husain 表示，該公司已在服務器端部署了緩解措施。

至於這個Gmail（G Suite）Bug 本身，實際上是兩個因素的結合，首先是攻擊者可將欺騙性的電子郵件發送到後端網關。

其次是利用自定義郵件路由規則、以接收傳入的電子郵件並將其轉發，同時藉助變更收件人的本地功能來騙過Gmail 或G Suite 客戶。

利用此功能轉發的好處是，Gmail / G Suite 會遵從SPF 和DMARC 安全標準來驗證欺騙性轉發的電子郵件。因源於Google 後端，其垃圾郵件評分也可能較低，從而減少了被過濾系統攔截的可能。

Allison Husain 指出，這兩個bug 都是谷歌獨有，如果漏洞未得到及時修補，其很有可能被惡意郵件發送者濫用。慶幸的是，通過在服務器端部署緩解措施，用戶這邊無需執行任何附加操作。