最近Google宣布更新處理電子郵件內圖檔的政策。Google在Gmail官方部落格的一篇文章裡表示:
很快地,你所看到橫跨桌上型電腦、iOS 和 Android 所自動顯示在郵件內的所有圖檔,不會是直接從原本外部主機伺服器所提供服務內的圖檔,而是 Gmail 透過 Google 自己的安全代理伺服器來提供所有圖檔。
簡單地說,這代表電子郵件內的所有照片現在都會被自動顯示。並非直接來自圖檔所在網站主機,而是Google所掃描過的副本。
根據官方說法,此一改變的原因是,在之前,發送者「可能會試圖利用圖檔來危害你電腦的安全性」,變更過的圖檔將被「檢查是否有已知病毒或惡意軟體」。這個變化會影響透過瀏覽器或官方iOS和Android應用程式來使用Gmail的使用者。
過去曾經有惡意圖檔被用來危害電腦。在2005年和2006年,有許多圖檔格式出現漏洞攻擊,包括Windows圖形中繼檔漏洞(MS06-001),以及Office允許任意程式碼執行漏洞(MS06-039)。更最近則有如何處理TIFF檔案的漏洞(MS13-096)被發現,直到十二月週二更新週期才被修補。正確實行和掃描圖檔可以防止這些攻擊影響使用者。
然而,這些漏洞的實際攻擊碼已經比較少見。漏洞攻擊包會選擇攻擊Flash、IE瀏覽器、Java和閱讀器的漏洞。圖檔漏洞甚至沒有列在這些攻擊包的控制面板裡。
最主要封鎖這些圖檔的原因並不是為了封鎖惡意軟體,而是為了阻止資料外洩。圖檔被垃圾郵件發送者和攻擊者用來追踪郵件是否被讀取並識別使用者的瀏覽器環境。電子郵件行銷商也利用此技術來確認他們的電子郵件廣告活動是否有效。
電子郵件行銷商已經證實,儘管Google採取行動,追蹤郵件還是非常可行。Google所提出的解決方案(透過代理伺服器來檢查圖檔是否存在惡意軟體)只解決一個小的安全問題(惡意圖檔),卻危及了使用者的安全和隱私。攻擊者仍然有能力來追蹤使用者是否已經讀取電子郵件,並且知道他們的瀏覽器環境。
使用者可以透過自己的Gmail設定來回復到之前的行為,如Google的部落格文章裡所述:
當然,對於願意分別確認每封郵件圖檔顯示的使用者,可以選擇 設定 > 一般設定 內的選項「顯示外部圖片時,必須先詢問我」。該選項也是之前選擇「顯示外部內容時,必須先詢問我」使用者的預設值。
我們強烈建議使用者更改他們帳戶的此設定。透過POP3或IMAP來存取Gmail的使用者應該檢查他們電子郵件應用程式的設定來控制圖檔顯示。
@原文出處:Changes to Gmail’s Image Display Defaults May Change Your Privacy作者:Jon Oliver(資深技術總監)
PC-cillin 2014雲端版跨平台同時支援Win、Mac及Android手機與平板,立即下載試用