大约3周前，我们报告了安全研究人员Eli Gray发现的Inbox by Gmail欺骗漏洞。此设计缺陷允许构建恶意的mailto链接，该链接将通过自动在地址字段中填充名称而不显示实际的电子邮件目的地来欺骗电子邮件收件人，除非用户在发送之前手动进行了检查。由于Inbox by Gmail分析mailto链接的方式可能会利用此缺陷。今天，我们注意到该问题已由Gmail团队的“收件箱”修复，因为现在可以清楚地向用户显示电子邮件收件人。

如您在上面的屏幕截图中所见，该问题现已解决。以前(左)仅显示收件人的姓名，而现在(右)则向用户显示姓名和目标电子邮件地址。我们以该mailto链接为例来演示此问题：以前将电子邮件收件人显示为“ support@paypal.com ”，但实际上，该电子邮件将发送至scammer@phishing.fakewebsite (这显然不是真实的地址。)

我们已与Google取得联系，以确认Gmail的所有Inbox用户都已安装此修复程序。这个问题显然已经存在了一段时间，但是很高兴看到Google设法解决它。Inbox应该通过整理电子邮件收件箱并提供智能管理我们的电子邮件的工具来使我们的生活更轻松，因此我们可以看到这样的问题如何轻易地欺骗大量Inbox用户。