数学家收到猎头邮件发现Google重大安全漏洞

楼主^#

更多发布于：2012-10-26 16:51


	《连线》报导，数学家Zachary Harris去年12月突然收到了google猎头发来了招聘邮件，询问他是否对网站可靠性工程师这个职位感兴趣。Harris怀疑邮件可能是骗子发来的，然而检查邮件头信息发现它确实是来自google.com的合法邮件。他接着注意到Google使用了一种弱加密密钥（512位DomainKeys Identified Mail密钥，DKIM标准推荐使用1024位密钥）去签名发件人验证收件人，任何破解密钥的人都可以用它去冒充来自Google的发件人，包括创始人Sergey Brin和Larry Page。Harris对Google的工作不感兴趣，但他决定破解密钥，然后分别以Brin和Page的名义向彼此发送邮件，内容是他个人网站的网址。他本以为Brin和Page可能会回信询问，结果他们根本没回信。2天后，他注意到Google将加密密钥增加到2048位，而他的网站突然增加了大量来自Google IP的访问流量