1,8 miliarda użytkowników Gmaila otrzymało nowy alert bezpieczeństwa

Aktualizacja 5/6 poniżej. Ten post został pierwotnie opublikowany 3 czerwca

Bezpieczeństwo Gmaila zawsze było jednym z jego największych atutów, ale teraz jedna z najgorętszych nowych funkcji bezpieczeństwa jest aktywnie wykorzystywana przez hakerów do oszukiwania użytkowników.

złożony w zeszłym miesiącu, System znaczników wyboru Gmaila Wyróżnia zweryfikowane firmy i organizacje dla użytkowników za pomocą niebieskiego znacznika wyboru. Chodzi o to, aby pomóc użytkownikom rozróżnić, które e-maile są legalne, a które zostały wysłane przez osoby podszywające się pod phishing. Niestety, oszuści oszukali system.

Monitorowane przez inżyniera bezpieczeństwa cybernetycznego Chrisa PlumeraOszuści znaleźli sposób, aby przekonać Gmaila, że ​​ich fałszywe znaki towarowe są legalne. Robiąc to, wykorzystując zaufanie, jakie system znaczników wyboru ma wzbudzać w użytkownikach Gmaila.

„Nadawca znalazł sposób na sfałszowanie zatwierdzonej pieczęci zatwierdzenia Gmaila, której użytkownicy końcowi będą ufać” — wyjaśnia Plummer. „Ta wiadomość trafiła z konta na Facebooku, do brytyjskiego netblocka, do O365, do mnie. Nic w tym nie jest legalne.”

Plummer informuje, że Google początkowo odrzucił jego odkrycie jako „celowe zachowanie”, zanim jego tweety na ten temat stały się wirusowe, a firma przyznała się do błędu. W oświadczeniu dla Plummera Google napisał:

„Po bliższym przyjrzeniu się zdaliśmy sobie sprawę, że tak naprawdę nie wyglądało to na ogólną słabość SPF. Dlatego otwieramy to ponownie, a odpowiedni zespół przygląda się bliżej temu, co się dzieje”.

Jeszcze raz przepraszamy za zamieszanie i rozumiemy, że nasza początkowa reakcja mogła być frustrująca. Dziękujemy bardzo za naciskanie na nas, abyśmy przyjrzeli się temu bliżej!

Będziemy Cię informować o naszej ocenie i kierunku, w jakim zmierza ta sprawa.

Pozdrawiamy, Zespół ds. bezpieczeństwa Google”

Plummer Przegląd najważniejszych wydarzeń Google wymieniło teraz błąd jako poprawkę „P1” (wysoki priorytet), która jest obecnie „w toku”.

Wielkie zasługi należą się Plummerowi, nie tylko za odkrycie go, ale także za to, jak bardzo się starał, aby Google uznał problem. Jednak dopóki Google tego nie naprawi, system weryfikacji znaczników wyboru Gmaila pozostaje zepsuty, a hakerzy i spamerzy używają go, aby oszukać Cię dokładnie w tym, z czym miał walczyć. Bądź czujny.

Aktualizacja 06/05: Analitycy bezpieczeństwa zaczynają rozumieć, w jaki sposób system weryfikacji znaczników wyboru Gmaila jest oszukiwany i jak ma on zastosowanie do innych usług pocztowych. W post na bloguDebuger Jonathan Rudenberg ujawnił, że był w stanie powtórzyć włamanie do Gmaila, stwierdzając:

Gmail wdrożenie BIMI tylko wymaga SPF dopasować podpis DKIM Może być z dowolnej dziedziny. Oznacza to, że każdy serwer pocztowy, który jest subskrybowany lub źle skonfigurowany w rekordach SPF domeny obsługującej BIMI, może być przeznaczony do wysyłania sfałszowanych wiadomości przy użyciu pełnej obsługi BIMI Gmaila…

BIMI jest gorszy niż status quo, ponieważ umożliwia bardzo silny phishing w oparciu o pojedynczą błędną konfigurację w bardzo złożonym i delikatnym pakiecie e-mail”.

Rudenberg opublikował również wyniki wdrożeń BIMI w innych głównych usługach pocztowych, mówiąc:

• iCloud: poprawnie sprawdza, czy DKIM pasuje do domeny z
• Yahoo: traktuje BIMI tylko z wiadomościami masowymi o wysokiej reputacji
• Fastmail: Słaby, ale obsługuje również Gravatar i używa tego samego traktowania dla obu, więc efekt jest minimalny
• Apple Mail + Fastmail: podatne na niebezpieczne traktowanie

Tak, oznacza to, że użytkownicy Apple Mail i Fastmail również powinni zachować czujność, nawet jeśli nie stosują tego samego schematu zaznaczenia co Gmail. Społeczność zajmująca się bezpieczeństwem zareagowała bardzo krytycznie na tę lukę, zadając pytania o to, jak do tego dopuszczono i jak słabo zaimplementowano metodę weryfikacji Gmaila. Google potrzebuje naprawy jak najszybciej.

___

Podążaj za Gordonem Facebook

Więcej o Forbesie

Więcej z ForbesaGoogle łata drugą lukę Zero Day w Chrome w ciągu tygodniaprzez Gordona Kelly’ego