Gmail安全再升级:Google将对未加密邮件提出警告
发布日期:2015-11-26Google研究发现到一些新的威胁趋势。网际网路某些区域会干扰SSL连线,企图阻止邮件加密。恶意DNS伺服器寻找Gmail的邮件伺服器并发佈伪造的路由资讯,骇客可能借以在使用者收到信件之前检查及修改邮件讯息。因此Google正在开发能警告用户未加密信件的工具,并预计在未来几个月里陆续部署。
为了应对未来一些可能的新的信息安全威胁,进一步强化Gmail用户通信安全,Google正在开发能警告用户未加密信件的工具,并预计在未来几个月陆续续部署。
根据最近Google与密西根及伊利诺州大学合作的一份研究显示,自2013年12月到2015年10月Gmail用户从非Gmail帐户收到的加密信件比例已经由33%上升到61%。同时间由Gmail帐户寄到非Gmail帐户的邮件中以TLS加密者,从60%成长到80%。另外,Gmail用户收到的邮件中,有94%具备某种形式的验证,显示防范网钓及伪装攻击的科技已经逐渐成为常态。
研究也发现到一些新的威胁趋势。首先,网际网路某些区域会干扰SSL连线,企图阻止邮件加密。Google安全工程研究主管Nicolas Lidzborski指出,Google已经和产业协会M3AAWG的合作伙伴联手强化「机会型TLS」(opportunistic TLS),以Chrome来保护网站连线免于受拦截。此外,研究也发现恶意DNS伺服器对寻找Gmail的邮件伺服器发佈伪造的路由资讯,好欺骗邮件伺服器上当,虽然此类攻击比例尚小,但可能让骇客得以在使用者收到信件之前检查及修改邮件讯息。
Lidzborski表示,上述威胁对Gmail到Gmail的通讯没有影响,但却危及其他ISP之间的通讯。因此,Google正在发展产品内建的警示功能,可在用户收到由非加密连线传送的信件时发出警告。未来几个月内Google就会开始部署这些警示功能。
Google近年对Gmail加入多项安全防护机制。例如,Google 2010年将Gmail预设HTTPS加密,且定期发布安全邮件透明度报告。去年更是全面加密Gmail,只能以HTTPS加密连线传送。去年六月又宣布,为Chrome推端对端邮件加密扩充程式,以防止邮件遭到监控。
相关资讯: