Googleの18億人のGmailユーザーに新たなセキュリティ警告が発令された

06/05 以下更新。 この投稿はもともと 6 月 3 日に公開されました

Gmail のセキュリティは常に最大のセールス ポイントの 1 つでしたが、現在、その最も重要な新しいセキュリティ機能の 1 つが、ユーザーをだますためにハッカーによって積極的に使用されています。

先月導入した、 Gmailのチェックマークの設定 検証済みの組織や企業を青色の検証アイコンでユーザーに強調表示します。 その目的は、どの電子メールが正規のもので、どの電子メールが詐欺に関与したなりすまし送信者によって送信されたものであるかをユーザーが識別できるようにすることです。 残念ながら、詐欺師がシステムを騙してしまいました。

サイバーセキュリティエンジニアによって発明されました クリス・プラマー, 詐欺師たちは、Gmail を騙して偽のブランドが正規品であると信じ込ませる方法を発見しました。 Gmail は、ユーザーに対する信頼を与えるためにチェックマーク システムを使用しています。

「送信者は、エンドユーザーが信頼する @gmail の認証スタンプを偽装する方法を見つけました」とプラマー氏は説明します。 「メッセージは Facebook アカウントから英国の NetBlock、O365、そして私に送られました。 それについては何も形式的なものではありません。 」

プラマー氏は、グーグルが彼女の発見を「意図的な行動」として却下し、それに関する彼女のツイートが拡散する前に同社は間違いを認めたと報告した。 Googleはプラマー氏への声明で次のように書いた。

「詳しく調べた結果、これは実際には一般的な SPF 脆弱性ではないようであることがわかりました。 そのため、私たちはこれを再開しており、適切なチームが何が起こっているかを注意深く監視しています。

混乱を招いてしまったことを重ねてお詫び申し上げます。また、私たちの最初の対応が期待外れだった可能性があることを理解しており、調査を進めていただき誠にありがとうございます。

私たちの評価とこの問題の方向性をお知らせします。

よろしくお願いします、Google セキュリティ チーム」

プラマー ハイライト Googleはこの欠陥を「P1」(優先)修正としてリストしており、現在「進行中」である。

プラマー氏の多大な功績は、彼の発明だけでなく、Google に問題を認めさせるためにどこまで努力したかにも当てられています。 Google が修正するまで、Gmail のチェックマーク検証システムは壊れており、ハッカーやスパム送信者はそれを利用して、あなたが戦っていることとまったく同じことをするように騙しています。 警戒します。

06/05 更新: セキュリティ研究者は、Gmail のチェックマーク検証システムがどのように騙されているのか、またそれが他の電子メール サービスにどのように適用されるのかを理解し始めています。 あ ブログデバッガーのジョナサン・ルーテンバーグ氏は、Gmail でハッキングを再現することができたと明らかにしました。

「Gメール BIMIの実装 必要なだけ SPF それに合わせて、 DKIM署名 どのドメインからでも可能です。 これは、BIMI が有効なドメインの SPF レコード内の共有メール サーバーまたは設定が間違っているメール サーバーが、Gmail の完全な BIMI ✅ 処理を使用してなりすましメッセージを送信する媒介となる可能性があることを意味します…

BIM は、電子メールの最も複雑で脆弱な層で欠陥のあるアーキテクチャに基づいた超強力なフィッシングを可能にするため、現状よりも悪くなっています。

Rutenberg 氏は、他の主要な電子メール サービスにおける BIMI 実装の結果を公開しました。

  • iCloud: DKIM が From ドメインと一致することを正しく検証します。
  • Yahoo: 評判の高い大量出荷のBIMI治療のみを接続
  • Fastmail: 脆弱ですが、Gravatar をサポートし、両方に同じ処理を使用するため、脆弱性は最小限です
  • Apple Mail + Fastmail: 危険な扱いを受けやすい

はい、これは、Gmail のように検証済みのチェックマーク システムが有効になっていないにもかかわらず、Apple Mail と Fastmail のユーザーも注意する必要があることを意味します。 この脆弱性はセキュリティ コミュニティから非常に批判的な反応を受けており、どのようにしてこの脆弱性が発生したのか、また Gmail の検証システムの実装がどれほど不十分であったのかについて疑問が生じています。 Googleはすぐに修正する必要があります。

___

ゴードンをフォローする フェイスブック

フォーブスでさらに詳しく

フォーブスのその他の記事Google、1週間で2件目のChromeのゼロデイ脆弱性を修正

READ  トランプ氏は、起訴されても2024年の大統領選への出馬を続けることを誓った

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です