為了因應未來一些可能的新的資安威脅,進一步強化Gmail用戶通信安全,Google正在開發能警告用戶未加密信件的工具,並預計在未來幾個月裡陸續部署。

根據最近Google與密西根及伊利諾州大學合作的一份研究顯示,自2013年12月到2015年10月Gmail用戶從非Gmail帳戶收到的加密信件比例已經由33%上升到61%。同時間由Gmail帳戶寄到非Gmail帳戶的郵件中以TLS加密者,從60%成長到80%。另外,Gmail用戶收到的郵件中,有94%具備某種形式的驗證,顯示防範網釣及偽裝攻擊的科技已經逐漸成為常態。

研究也發現到一些新的威脅趨勢。首先,網際網路某些區域會干擾SSL連線,企圖阻止郵件加密。Google安全工程研究主管Nicolas Lidzborski指出,Google已經和產業協會M3AAWG的合作夥伴聯手強化「機會型TLS」(opportunistic TLS),以Chrome來保護網站連線免於受攔截。此外,研究也發現惡意DNS伺服器對尋找Gmail的郵件伺服器發佈偽造的路由資訊,好欺騙郵件伺服器上當,雖然此類攻擊比例尚小,但可能讓駭客得以在使用者收到信件之前檢查及修改郵件訊息。

Lidzborski表示,上述威脅對Gmail到Gmail的通訊沒有影響,但卻危及其他ISP之間的通訊。因此,Google正在發展產品內建的警示功能,可在用戶收到由非加密連線傳送的信件時發出警告。未來幾個月內Google就會開始部署這些警示功能。

Google近年對Gmail加入多項安全防護機制。例如,Google 2010年將Gmail預設HTTPS加密,且定期發佈安全郵件透明度報告。去年更是全面加密Gmail,只能以HTTPS加密連線傳送。去年六月又宣佈,為Chrome推端對端郵件加密擴充程式,以防止郵件遭到監控。(編譯/林妍溱)

 

熱門新聞

Advertisement