Googlovi poštni strežniki postajajo raj za spamerje

Potem ko je bila pred kratkim objavljena analiza napada na Google-ov zvočni del CAPTCHA zaščite pred spamerji, ki je efektivno popolnoma zaobšla Google-ovo zaščito, saj naj bi se dalo doseči tudi 90 odstotno uspešnost ugibanja, pa je bil danes objavljen še en članek, ki razkriva da so Google-ovi poštni strežniki ranljivi za t.i. man-in-the-middle napade.

Raziskovalcem iz INSERT-a je tako uspelo zaobiti GMail-ovo omejitev 500-tih sporočil, ki jih lahko naenkrat pošlje uporabnik, brez da bi jim Google omejil dostop, ali jih opozoril na morebitne posledice nadaljnjega početja. Kar naredi ti dve varnostni ranljivosti še nekoliko bolj kritični je dejstvo, da ponudniki internetne pošte velik del elektronske pošte zavrnejo že s prepoznavo izvora pošte - prepoznajo namreč določene strežnike, ki so na t.i. črnih seznamih oziroma avtomatsko spustijo pošto skozi svojo prvo linijo obrambe, če identificirajo izvorni strežnik kot zaupanja vreden.

Yahoo in Hotmail tako na primer popolnoma zaupata Google-ovim strežnikom in sta vsa testna sporočila dostavila v glavni nabiralnik. Kakšne posledice lahko to ima za poštne ponudnike, ki se zanašajo na hierarhijo zaupanja, verjetno ni potrebno posebej poudarjati.