Peringatan keamanan baru telah dikeluarkan untuk 1,8 miliar pengguna Gmail Google

Perbarui di bawah 06/05. Posting ini awalnya diterbitkan pada 3 Juni

Keamanan Gmail selalu menjadi salah satu nilai jual terbesarnya, tetapi sekarang salah satu fitur keamanan baru terpentingnya digunakan secara aktif oleh peretas untuk mengelabui pengguna.

Diperkenalkan bulan lalu, the Pengaturan tanda centang Gmail Sorot organisasi dan perusahaan terverifikasi kepada pengguna dengan ikon verifikasi biru. Idenya adalah untuk membantu pengguna mengidentifikasi email mana yang sah dan mana yang dikirim oleh peniru identitas yang terlibat dalam penipuan. Sayangnya, penipu telah menipu sistem.

Diciptakan oleh Insinyur Keamanan Cyber Chris Plummer, penipu telah menemukan cara untuk mengelabui Gmail agar percaya bahwa merek palsu mereka sah. Gmail menggunakan sistem tanda centang untuk menanamkan kepercayaan terhadap pengguna.

“Pengirim menemukan cara untuk memalsukan stempel autentikasi @gmail, yang akan dipercaya oleh pengguna akhir,” jelas Plummer. “Pesan itu berpindah dari akun Facebook, ke UK NetBlock, ke O365, ke saya. Tidak ada yang formal tentang itu. ”

Plummer melaporkan bahwa Google menolak penemuannya sebagai “perilaku yang bertujuan” dan bahwa perusahaan tersebut mengakui kesalahan tersebut sebelum tweetnya tentang hal itu menjadi viral. Dalam sebuah pernyataan kepada Plummer, Google menulis:

“Setelah mengamati lebih dekat, kami menyadari bahwa ini sebenarnya bukan kerentanan SPF yang umum. Jadi kami membuka kembali ini, dan tim yang tepat terus mengawasi apa yang terjadi.

Sekali lagi kami mohon maaf atas kebingungan ini, dan kami memahami bahwa tanggapan awal kami mungkin mengecewakan, dan terima kasih banyak telah mendorong kami untuk menyelidiki hal ini!

Kami akan memberi tahu Anda penilaian kami dan arah masalah ini.

Salam, Tim Keamanan Google”

Plummer Highlight Google sekarang telah mencantumkan cacat ini sebagai perbaikan ‘P1’ (prioritas), yang saat ini “sedang berlangsung”.

Penghargaan Plummer yang sangat besar tidak hanya untuk penemuannya, tetapi juga sejauh mana dia membuat Google mengakui masalahnya. Sampai Google memperbaikinya, sistem verifikasi tanda centang Gmail rusak, dan peretas serta spammer menggunakannya untuk mengelabui Anda agar melakukan apa yang sebenarnya Anda lawan. Waspada.

Pembaruan 06/05: Peneliti keamanan mulai memahami bagaimana sistem verifikasi tanda centang Gmail dikelabui dan bagaimana penerapannya pada layanan email lainnya. A BlogDebugger Jonathan Rutenberg mengungkapkan bahwa dia dapat mereplikasi peretasan di Gmail.

“Gmail pelaksanaan BIMI hanya diperlukan SPF Untuk menyesuaikan, the tanda tangan DKIM Bisa dari domain apa saja. Ini berarti bahwa server surat bersama atau salah konfigurasi dalam catatan SPF dari domain yang mendukung BIMI dapat menjadi vektor untuk mengirim pesan palsu dengan perlakuan penuh BIMI ✅ di Gmail…

BIM lebih buruk daripada kondisi saat ini karena mengaktifkan phishing bertenaga super berdasarkan arsitektur yang cacat pada lapisan email yang paling kompleks dan rentan.

Rutenberg menerbitkan hasil implementasi BIMI di layanan email utama lainnya.

• iCloud: Memverifikasi dengan benar bahwa DKIM cocok dengan domain Dari
• Yahoo: Menghubungkan hanya perawatan BIMI yang dikirim secara massal dengan reputasi tinggi
• Fastmail: Rentan tetapi mendukung Gravatar dan menggunakan perlakuan yang sama untuk keduanya, sehingga kerentanannya minimal
• Apple Mail + Fastmail: Rentan terhadap Perawatan Berbahaya

Ya, ini berarti pengguna Apple Mail dan Fastmail juga harus waspada, meskipun mereka tidak mengaktifkan sistem tanda centang terverifikasi seperti Gmail. Kerentanan tersebut mendapat tanggapan yang sangat kritis dari komunitas keamanan, menimbulkan pertanyaan tentang bagaimana hal itu terjadi dan seberapa buruk penerapan sistem verifikasi Gmail. Google membutuhkan perbaikan segera.

___

Ikuti Gordon Facebook

Lebih lanjut di Forbes

Lainnya dari ForbesGoogle menambal kerentanan Chrome zero-day kedua dalam semingguOleh Gordon Kelly