Niebezpieczeństwo czycha na użytkowników poczty Gmail

Nowa funkcja Google miała zapewnić większe bezpieczeństwo, ale może być bronią obusieczną.

Google w ubiegłym miesiącu zdecydowało się wdrożyć nowy system znaczników wyboru. Został on prowadzony w celu ułatwienia weryfikacji wiadomości e-mail wysyłanych przez potwierdzone organizacje i firmy odfiltrowując wiadomości od odbiorców, którzy nie zostali zweryfikowani przez użytkownika lub Google.

Poważna luka w funkcji bezpieczeństwa Gmaila
Źródło: blog.google

Poważna luka w funkcji bezpieczeństwa Gmaila

Źródło: blog.google

E-maile z niebieskim wskaźnikiem sugeruje użytkownikom, że mogą bez obawy otworzyć wiadomość bez obawy o podejrzenie oszustwa, SPAM lub próbę przejęcia dostępu do konta.

Zobacz również:

  • Kolejny europejski kraj oskarża Google o stosowanie monopolistycznych praktyk
  • Gemini wkroczył oficjalnie do poczty Gmail
  • CrowdStrike przeprasza użytkowników komputerów Windows za wczorajszą awarię

W praktyce najnowsze rozwiązanie może być bronią obusieczną dla użytkowników, o czym ostrzega inżynier do spraw cyberbezpieczeństwa - Chris Plummer.

Dzięki błędowi w systemie wprowadzonym przez Google oszuści mogą sprawić, że Gmail zweryfikuje ich fałszywą wiadomość e-mail, wyświetlając niebieski znacznik sugerujący, że wiadomość jest bezpieczna.

Inżynierowi udało się odkryć sposób, w jaki oszuści mogą sprawić, że niebieski znacznik wyboru "zweryfikuje" ich nieautoryzowany przez Google adres e-mail. Chris Plummer przesłał raport o błędzie do Google po zauważeniu oszusta wysyłającego zweryfikowaną wiadomość e-mail podszywającą się pod UPS. Wiadomość zawierała nawet ikonę UPS w logo wyświetlanym przez Google. Wyszukiwarkowy gigant początkowo odrzucił zgłoszenie Plummera, twierdząc, że nie naprawi błędu, ponieważ "jest to zamierzone zachowanie".

Google szybko zmieniło zdanie i wysłało badaczowi następującą wiadomość:

Po bliższym przyjrzeniu się zdaliśmy sobie sprawę, że rzeczywiście nie wygląda to na ogólną lukę SPF. W związku z tym ponownie otwieramy tę sprawę, a odpowiedni zespół przygląda się bliżej temu, co się dzieje. Jeszcze raz przepraszamy za zamieszanie i rozumiemy, że nasza początkowa odpowiedź mogła być frustrująca, ale bardzo dziękujemy za naciskanie, abyśmy przyjrzeli się temu problemowi bliżej! Będziemy na bieżąco informować o naszej ocenie i kierunku, w jakim zmierza ta sprawa. Z poważaniem, Zespół Bezpieczeństwa Google
.

Google nadało tej usterce oznaczenie P1, co oznacza, że jest to poprawka o najwyższym priorytecie. Dopóki jednak nie zostanie ona naprawiona, użytkownicy Gmaila powinni uważać uważać na zweryfikowane wiadomości Gmail, które nie pochodzą od firmy, za którą się podają. Nie należy klikać żadnych linków i z pewnością nie należy podawać żadnych informacji wrażliwych.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200