06/06 아래 업데이트. 이 게시물은 원래 6월 3일에 게시되었습니다.
Gmail의 보안은 항상 가장 큰 판매 포인트 중 하나였지만 현재 가장 인기 있는 새 보안 기능 중 하나는 해커가 사용자를 속이기 위해 적극적으로 사용하고 있습니다.
지난달 제출, Gmail 체크 표시 시스템 사용자에 대해 확인된 회사 및 조직을 파란색 확인 표시로 강조 표시합니다. 아이디어는 사용자가 합법적인 전자 메일과 피싱 사칭자가 보낸 전자 메일을 구분할 수 있도록 돕는 것입니다. 불행히도 사기꾼은 시스템을 속였습니다.
사이버 보안 엔지니어가 모니터링 크리스 플러머사기꾼들은 가짜 상표가 합법적이라고 Gmail을 설득하는 방법을 찾았습니다. 그렇게 함으로써 체크 표시 시스템이 Gmail 사용자에 대해 주입해야 하는 신뢰를 사용합니다.
Plummer는 “발신자가 최종 사용자가 신뢰할 수 있는 gmail의 승인 스탬프를 속이는 방법을 찾았습니다.”라고 설명합니다. “이 메시지는 Facebook 계정에서 영국 넷블록, O365, 나에게 전달되었습니다. 이것에 대한 어떤 것도 합법적이지 않습니다.”
Plummer는 Google이 트윗이 입소문이 나기 전에 처음에 자신의 발견을 “의도적인 행동”으로 일축했으며 회사는 오류를 인정했다고 보고했습니다. Plummer에 대한 성명에서 Google은 다음과 같이 썼습니다.
“자세히 살펴본 후 이것이 실제로 SPF의 일반적인 약점처럼 보이지 않는다는 것을 깨달았습니다. 그래서 우리는 이것을 재개하고 적절한 팀이 무슨 일이 일어나고 있는지 자세히 살펴보고 있습니다.”
혼란에 대해 다시 한 번 사과드리며 초기 대응이 실망스러웠을 수 있음을 이해합니다. 이 문제를 자세히 살펴보도록 압력을 가해 주셔서 대단히 감사합니다!
우리의 평가와 이 문제가 취하는 방향을 계속 알려드리겠습니다.
감사합니다. Google 보안팀’
플러머 하이라이트 Google은 현재 버그를 “진행 중”인 “P1″(높은 우선 순위) 수정으로 나열했습니다.
Plummer는 그것을 발견한 것뿐만 아니라 Google이 문제를 인정하도록 하기 위해 노력한 것에 대해 큰 공을 세웁니다. 그러나 Google이 문제를 해결할 때까지 Gmail의 확인 표시 확인 시스템은 여전히 작동하지 않으며 해커와 스패머는 이 시스템을 사용하여 사용자를 속여 전투해야 할 정확한 대상으로 유도합니다. 경계하십시오.
06/05 업데이트: 보안 연구원들은 Gmail의 확인 표시 확인 시스템이 어떻게 속이고 다른 이메일 서비스에 어떻게 적용되는지 이해하기 시작했습니다. ~에 블로그 게시물디버거 Jonathan Rudenberg는 다음과 같이 Gmail에서 해킹을 복제할 수 있었다고 밝혔습니다.
지메일 BIMI 구현 만 필요합니다 SPF 일치하다 DKIM 서명 어느 분야에서나 가능합니다. 즉, BIMI 사용 도메인의 SPF 레코드에 가입되어 있거나 잘못 구성된 모든 메일 서버는 Gmail의 전체 BIMI 처리를 사용하여 스푸핑된 메시지를 보낼 수 있습니다.
BIMI는 매우 복잡하고 깨지기 쉬운 이메일 패키지의 단일 구성 오류를 기반으로 매우 강력한 피싱을 가능하게 하기 때문에 현상 유지보다 더 나쁩니다.”
Rudenberg는 또한 다음과 같이 다른 주요 이메일 서비스에 대한 BIMI 구현 결과를 발표했습니다.
- iCloud: DKIM이 도메인과 일치하는지 올바르게 확인합니다.
- Yahoo: 평판이 좋은 대량 메시지로만 BIMI를 처리합니다.
- Fastmail: 형편없지만 Gravatar도 지원하고 둘 다 동일한 처리를 사용하므로 효과가 미미합니다.
- Apple Mail + Fastmail: 위험한 취급에 취약
예, 이것은 Apple Mail 및 Fastmail 사용자가 Gmail과 동일한 체크 표시 체계를 실행하지 않더라도 경계해야 함을 의미합니다. 보안 커뮤니티에서는 이 취약점에 대해 매우 비판적인 답변을 내놓았습니다. 이 문제가 어떻게 허용되었고 Gmail의 확인 방법이 얼마나 부실하게 구현되었는지에 대한 질문이 제기되었습니다. Google은 최대한 빨리 수정해야 합니다.
06/06 업데이트: Google 언론 팀에서 Gmail 확인 해킹에 대한 자세한 내용을 저에게 연락했습니다.
“이 문제는 나쁜 당사자가 지금보다 더 많이 신뢰할 수 있게 하는 타사 보안 취약성에서 비롯됩니다. 사용자를 안전하게 유지하기 위해 발신자는 메시지 메타 상태 브랜드 지표(파란색 체크 표시) ), Google 대변인은 설명했습니다.
Google은 원하는 사람을 위해 다음 링크도 제공했습니다. DKIM에 대한 추가 정보. 또한 대변인은 수정 사항이 “주말까지 완전히 공개될 것”이라고 확인했습니다.
이 문제의 빠른 식별 및 해결은 의심할 여지 없이 좋은 것입니다. 그러나 쉽게 악용될 수 있는 타사 서비스 위에 인증 시스템을 구축한 것에 대해 Google이 책임을 져야 한다는 점에 유의해야 합니다. 요점 많은 모니터 지난 주 해킹을 성공적으로 복제한 Jonathan Rodenberg의 작업에 대한 응답입니다.
다시 한 번, 이 문제를 파악하고 Google이 이 문제를 인식하도록 한 Chris Plummer, 해킹을 복제한 Rudenberg, 그리고 이제 Google의 대응 속도에 대한 공로를 인정합니다. 정의에 따라 검증된 송신기 시스템은 방수가 되어야 하며 그렇지 않으면 능동적으로 위험해집니다.
말할 필요도 없이 Google은 모든 해커와 사기꾼이 새로운 솔루션을 찾을 것이기 때문에 이제 두 번째 시도에서 제대로 해야 한다는 엄청난 압력을 받고 있습니다. 내 권장 사항: 이메일을 맹목적으로 신뢰하지 말고 경계를 늦추지 말고 직감을 사용하고 링크를 클릭하거나 의심스러운 메시지에 회신하지 마십시오.
___
고든 팔로우 페이스북
포브스에 대한 추가 정보
“트위터를 통해 다양한 주제에 대한 생각을 나누는 아 동율은 정신적으로 깊이 있습니다. 그는 맥주를 사랑하지만, 때로는 그의 무관심함이 돋보입니다. 그러나 그의 음악에 대한 열정은 누구보다도 진실합니다.”