1.媒体来源:
iThome
2.完整新闻标题:
Gmail安全再升级,邮件未加密Google将提出警告
3.完整新闻内文:
Google研究发现到一些新的威胁趋势。互联网某些区域会干扰SSL连线,企图阻止邮件
加密。恶意DNS服务器寻找Gmail的邮件服务器并发布伪造的路由资讯,骇客可能藉以在使
用者收到信件之前检查及修改邮件讯息。因此Google正在开发能警告用户未加密信件的工
具,并预计在未来几个月里陆续部署。
为了因应未来一些可能的新的资安威胁,进一步强化Gmail用户通信安全,Google正在开
发能警告用户未加密信件的工具,并预计在未来几个月里陆续部署。
根据最近Google与密西根及伊利诺州大学合作的一份研究显示,自2013年12月到2015年10
月Gmail用户从非Gmail帐户收到的加密信件比例已经由33%上升到61%。同时间由Gmail帐
户寄到非Gmail帐户的邮件中以TLS加密者,从60%成长到80%。另外,Gmail用户收到的邮
件中,有94%具备某种形式的验证,显示防范网钓及伪装攻击的科技已经逐渐成为常态。
研究也发现到一些新的威胁趋势。首先,互联网某些区域会干扰SSL连线,企图阻止邮
件加密。Google安全工程研究主管Nicolas Lidzborski指出,Google已经和产业协会
M3AAWG的合作伙伴联手强化“机会型TLS”(opportunistic TLS),以Chrome来保护网站
连线免于受拦截。此外,研究也发现恶意DNS服务器对寻找Gmail的邮件服务器发布伪造的
路由资讯,好欺骗邮件服务器上当,虽然此类攻击比例尚小,但可能让骇客得以在使用者
收到信件之前检查及修改邮件讯息。
Lidzborski表示,上述威胁对Gmail到Gmail的通讯没有影响,但却危及其他ISP之间的通
讯。因此,Google正在发展产品内建的警示功能,可在用户收到由非加密连线传送的信件
时发出警告。未来几个月内Google就会开始部署这些警示功能。
Google近年对Gmail加入多项安全防护机制。例如,Google 2010年将Gmail默认HTTPS加密
,且定期发布安全邮件透明度报告。去年更是全面加密Gmail,只能以HTTPS加密连线传送
。去年六月又宣布,为Chrome推端对端邮件加密扩充程式,以防止邮件遭到监控。(编译
/林妍溱)
4.完整新闻连结 (或短网址):
http://www.ithome.com.tw/news/99965
5.备注: