巴基斯坦白帽黑客學(xué)生獲谷歌2萬(wàn)美元漏洞獎(jiǎng)勵(lì)——發(fā)現(xiàn)了Gmail驗(yàn)證過(guò)程中可致電子郵件賬戶被劫持的漏洞。

谷歌喜歡給新手程序員、白帽黑客和安全研究人員機(jī)會(huì)參與漏洞獎(jiǎng)勵(lì)項(xiàng)目，來(lái)證明他們的技術(shù)和能力，已經(jīng)是眾所周知的事實(shí)了。

谷歌Play、Chrome Web 商店或iTunes上現(xiàn)有或最新的應(yīng)用、插件、軟件和操作系統(tǒng)，都是谷歌邀請(qǐng)全球研究人員挖掘漏洞的目標(biāo)。作為回報(bào)，成功挖出漏洞者將會(huì)收獲一定獎(jiǎng)勵(lì)。此類項(xiàng)目的核心宗旨，就是讓谷歌的應(yīng)用和系統(tǒng)更加安全。

然而，具備谷歌漏洞獎(jiǎng)勵(lì)項(xiàng)目(VRP)中選資格并非易事，所發(fā)現(xiàn)的漏洞必須落入以下列出的幾種分類里：

• 跨站腳本
• 跨站請(qǐng)求偽造
• 混合內(nèi)容腳本
• 身份驗(yàn)證或授權(quán)缺陷
• 服務(wù)器端代碼執(zhí)行漏洞

只要漏洞被驗(yàn)證有效，黑客最高可獲得2萬(wàn)美元的谷歌獎(jiǎng)勵(lì)。

艾哈邁德·麥哈塔布，Security Fuss 首席執(zhí)行官，一名巴基斯坦學(xué)生，最近剛剛獲此獎(jiǎng)勵(lì)。麥哈塔布發(fā)現(xiàn)了Gmail身份驗(yàn)證方法中的缺陷。

谷歌漏洞獎(jiǎng)勵(lì)計(jì)劃中艾哈邁德·麥哈塔布的文檔

如果某用戶擁有多個(gè)電子郵件地址，谷歌允許用戶關(guān)聯(lián)所有郵件地址，還允許主賬戶的郵件被轉(zhuǎn)發(fā)到從屬賬戶中。

麥哈塔布發(fā)現(xiàn)了谷歌切換和關(guān)聯(lián)郵件地址所采用的驗(yàn)證繞過(guò)方法中存在的固有缺陷，該缺陷可導(dǎo)致郵件ID在以下情況發(fā)生時(shí)被劫持：

• 收件人SMTP離線
• 郵箱被收件人停用
• 收件人不存在或是無(wú)效電郵ID
• 收件人存在但已屏蔽了發(fā)件人

劫持過(guò)程如下：

攻擊者通過(guò)給谷歌發(fā)信來(lái)驗(yàn)證某郵件地址所有權(quán)狀態(tài)。谷歌向該地址發(fā)送郵件進(jìn)行確認(rèn)。該郵件地址無(wú)法收取驗(yàn)證郵件，于是，谷歌的郵件被發(fā)回給實(shí)際發(fā)件人，而這次，里面帶上了驗(yàn)證碼。該驗(yàn)證碼將被黑客利用，郵件地址的所有權(quán)被確認(rèn)。

巴基斯坦黑客因報(bào)告安全漏洞獲此大額獎(jiǎng)金也不是第一次了。之前，安全研究員拉法·俾路支就因報(bào)告Chrome和火狐瀏覽器關(guān)鍵漏洞而獲5千美元漏洞獎(jiǎng)勵(lì)，還因曝光PayPal服務(wù)器任意指令執(zhí)行漏洞而獲1萬(wàn)美元。