Foxmail 5.0安全漏洞大曝光

发表于:2007-07-02来源:作者:点击数: 标签:
朋友,你在使用Foxmail 5.0收发邮件吗?如果答案是肯定的话,那么可要小心你的邮件 安全 了。也许你会说,没关系,我的帐户加了密码!可是,你知道吗,几乎不费吹灰之力,他人就能解除密码,偷看甚至删除你的邮件!更为严重的是,他人可以在不解除密码的情况

朋友,你在使用Foxmail 5.0收发邮件吗?如果答案是肯定的话,那么可要小心你的邮件安全了。也许你会说,没关系,我的帐户加了密码!可是,你知道吗,几乎不费吹灰之力,他人就能解除密码,偷看甚至删除你的邮件!更为严重的是,他人可以在不解除密码的情况下,冒用你的名义发送邮件!

  这……有可能吗?俗话说得好:耳听为虚,眼见为实。只要你跟随着笔者看完几个简单的步骤,就会发现,上方所述绝非危言耸听。

  一、不解密码也能发邮件

  如图1所示,此处Foxmail中有三个加了密码的帐户,第一个帐户是“My Mail”,就从它着手吧,在不解开密码的情况下,用这个帐户发邮件。




图1:My Mail加密帐户


  在网页上随便找个Email地址的链接,就以PConline“软件资讯”首页为例吧,点击“软件投稿”(见图2)链接。



图2:邮件链接

此时会显示Foxmail的“写邮件”窗口(见图3),不管三七二十一,先随便写点内容。



图3:显示出的新窗口


  接下来将鼠标移到工具栏上“发送”按钮上,这时也许有人心存疑问:没有帐户密码,发送得出去吗?还是让事实来说话吧,请别犹豫,按下“发送”试试!诸位,看到了吗?邮件已经开始发送了,然而却没有要求输入任何密码!(见图4)



图4:成功发送邮件


  诸君请再想一想,没有帐户密码,然而能够成功发出邮件,这意味着什么呢?任何人只要能够用你的电脑,就能够冒用你的邮箱,以你的名义给任何人发送邮件!
二、消除密码易如反掌

  现在你知道了他人可以相当轻松的冒用你的名义发送邮件,这事够悬的吧?但是千万别以为他看不到你收发的邮件,所以你的个人邮件还很“安全”。你错了!他人只要搞一个小动作,就不光能看到你所有收发的邮件,甚至连地址簿信息也不放过!

  这次还是以“My Mail”帐户为例。打开“资源管理器”,查找Foxmail 5.0中该帐户的文件夹位置,位于\Foxmail\Mail\My Mail中。从中找到Aclearcase/" target="_blank" >ccount.stg文件,删之而后快!( 见图5)



图5:删除这个文件


  退出Foxmail 5.0,然后再次运行。各位都看到了吧,现在根本无须输入密码,就可以打开帐户了( 见图6)。既然已经打开,也就等于掌握了帐户的生杀大权,其中邮件,想看便看,想删便删;甚而至于可以执行“帐户”→“删除”命令,将你的账户删掉!够可怕的吧?再且,皮之不存,毛将蔫附?既然密码已经消除,地址簿也就毫无隐私可言了,点击工具栏上的“地址簿”就能一览无余。



图6:消除密码后顺利打开帐户

  
  看到此处,相信你会和笔者一样会产生邮件安全根本得不到保证的感觉,是吧?那么该如何是好呢?

  事实上,笔者是在试用时发现了这两点安全漏洞,在此写出来,目的是给大家提一个安全警戒的醒。但到目前为止,笔者在软件自身中没有找出有效的防御方法。也许,不让他人接近电脑才能提高安全系数吧,呵呵。问题的真正的解决,我们只能寄希望于Foxmail的下一个版本的诞生了。

,

原文转自:http://www.ltesting.net