Um novo aviso de segurança foi emitido para 1,8 bilhão de usuários do Gmail do Google

Atualização abaixo de 06/05. Este post foi publicado originalmente em 3 de junho

A segurança do Gmail sempre foi um de seus maiores pontos de venda, mas agora um de seus novos recursos de segurança mais importantes está sendo usado ativamente por hackers para enganar os usuários.

Apresentado no mês passado, o Configuração de marca de seleção do Gmail Destaque organizações e empresas verificadas para usuários com um ícone de verificação azul. A ideia é ajudar os usuários a identificar quais e-mails são legítimos e quais são enviados por imitadores envolvidos em golpes. Infelizmente, os fraudadores enganaram o sistema.

Inventado pelo engenheiro de segurança cibernética Chris Plummer, os fraudadores encontraram uma maneira de induzir o Gmail a acreditar que suas marcas falsas são legítimas. O Gmail usa o sistema de marca de seleção para incutir confiança nos usuários.

“O remetente encontrou uma maneira de falsificar o carimbo de autenticação do @gmail, no qual os usuários finais confiarão”, explica Plummer. “A mensagem foi da conta do Facebook, para UK NetBlock, para O365, para mim. Nada sobre isso é formal. ”

Plummer relata que o Google rejeitou sua descoberta como “comportamento proposital”, seu tweet sobre o qual se tornou viral, e a empresa reconheceu o erro. Em uma declaração a Plummer, o Google escreveu:

“Depois de olharmos de perto, percebemos que isso não parece ser uma vulnerabilidade SPF comum. Então, estamos reabrindo isso, e a equipe apropriada está de olho no que está acontecendo.

Mais uma vez, pedimos desculpas pela confusão, entendemos que nossa resposta inicial pode ter sido decepcionante e muito obrigado por nos pressionar a investigar isso!

Informaremos nossa avaliação e o rumo que esta questão toma.

Atenciosamente, Equipe de segurança do Google”

Plummer Destaques O Google agora listou essa falha como uma correção ‘P1’ (prioritária), que está atualmente “em andamento”.

O enorme crédito de Plummer vai não apenas para sua invenção, mas até onde ele foi para fazer o Google admitir o problema. Até que o Google conserte, o sistema de verificação de marca de seleção do Gmail está quebrado e hackers e spammers o estão usando para induzi-lo a fazer exatamente o que você está lutando. Seja vigilante.

Atualização de 05/06: Pesquisadores de segurança estão começando a entender como o sistema de verificação de marca de seleção do Gmail está sendo enganado e como ele se aplica a outros serviços de e-mail. A blogO depurador Jonathan Rutenberg revelou que conseguiu replicar o hack no Gmail, explicando:

“Gmail implementação BIMI apenas necessário FPS Para atender, o assinatura DKIM Pode ser de qualquer domínio. Isso significa que um servidor de e-mail compartilhado ou mal configurado nos registros SPF de um domínio habilitado para BIMI pode ser um vetor para o envio de mensagens falsificadas com tratamento BIMI ✅ completo no Gmail…

O BIM é pior do que o estado atual porque permite phishing superpoderoso com base em uma arquitetura falha na camada mais complexa e vulnerável do e-mail.

Rutenberg publicou resultados para implementações de BIMI em outros serviços de e-mail importantes.

• iCloud: verifica corretamente se o DKIM corresponde ao domínio De
• Yahoo: conecta apenas tratamento BIMI enviado em massa com alta reputação
• Fastmail: Vulnerável, mas suporta Gravatar e usa o mesmo tratamento para ambos, então a vulnerabilidade é mínima
• Apple Mail + Fastmail: vulnerável a tratamento perigoso

Sim, isso significa que os usuários do Apple Mail e do Fastmail também devem estar cientes, embora não tenham o sistema de marca de seleção verificado ativado como o Gmail. A vulnerabilidade recebeu uma resposta muito crítica da comunidade de segurança, levantando questões sobre como isso aconteceu e quão mal o sistema de verificação do Gmail foi implementado. O Google precisa de uma correção em breve.

___

Siga Gordon Facebook

Mais na Forbes

Mais da ForbesGoogle corrige segunda vulnerabilidade zero-day do Chrome em uma semanaPor Gordon Kelly