Nueva advertencia de seguridad emitida para los 1.800 millones de usuarios de Gmail de Google

Visto por un ingeniero de ciberseguridad chris plumer, los estafadores han encontrado una manera de convencer a Gmail de que sus marcas falsas son legítimas. Por lo tanto, utiliza la confianza que se supone que el sistema de marca inspira a los usuarios de Gmail.

«El remitente encontró una manera de engañar al sello autorizado de aprobación de @gmail, en el que los usuarios finales van a confiar», dice Plummer. «Esta publicación pasó de una cuenta de Facebook a un bloque de red del Reino Unido, a O365, a mí. Nada de eso es legítimo.

Plummer informa que Google inicialmente descartó su descubrimiento como «comportamiento intencional» antes de que sus tweets al respecto se volvieran virales y la compañía reconoció el error. En una declaración a Plummer, Google escribió:

“Después de observar más de cerca, nos dimos cuenta de que, de hecho, esto no parece ser una vulnerabilidad SPF genérica, por lo que estamos reabriendo esto y el equipo apropiado está analizando más de cerca lo que está sucediendo.

Nuevamente, nos disculpamos por la confusión y entendemos que nuestra respuesta inicial puede haber sido frustrante. ¡Muchas gracias por insistir en que echemos un vistazo más de cerca!

Lo mantendremos informado sobre nuestra evaluación y hacia dónde se dirige este problema.

Atentamente, Equipo de seguridad de Google »

fontanero puntos fuertes que Google ahora ha enumerado la falla como una solución «P1» (máxima prioridad), que actualmente está «en progreso».

Plummer tiene mucho crédito, no solo por su descubrimiento, sino por sus esfuerzos para que Google reconozca el problema. Dicho esto, hasta que Google tenga una solución, el sistema de verificación de ticks de Gmail sigue siendo defectuoso y los piratas informáticos y los spammers lo utilizan para engañarlo con exactamente lo que se suponía que debía combatir. Manténgase alerta.

Actualización 05/06: Los investigadores de seguridad están comenzando a comprender cómo se engaña al sistema de verificación de marca de verificación de Gmail y cómo se aplica a otros servicios de correo electrónico. En un entrada en el blogEl depurador Jonathan Rudenberg reveló que pudo reproducir el hack en Gmail, explicando:

«Gmail implementación BIMI solo requiere FPS para emparejar, el Firma DKIM puede provenir de cualquier dominio. Esto significa que cualquier servidor de correo compartido o mal configurado en los registros SPF de un dominio habilitado para BIMI puede ser un vector para enviar mensajes falsificados con procesamiento BIMI ✅ completo en Gmail…

BIMI es peor que el statu quo porque permite un poderoso phishing basado en una sola configuración incorrecta en la pila enormemente complicada y frágil que es el correo electrónico.

Rudenberg también publicó los resultados de las implementaciones de BIMI en otros importantes servicios de mensajería, afirmando:

• iCloud: comprueba correctamente que DKIM coincide con el dominio From
• Yahoo: solo adjunta procesamiento BIMI a envíos masivos de alta reputación
• Fastmail: vulnerable pero también es compatible con Gravatar y usa el mismo procesamiento para ambos, por lo que el impacto es mínimo
• Apple Mail + Fastmail: vulnerable con tratamiento peligroso

Sí, eso significa que los usuarios de Apple Mail y Fastmail también deben estar atentos, aunque no ejecutan el mismo sistema verificado de verificación que Gmail. Ha habido una respuesta muy crítica a esta vulnerabilidad por parte de la comunidad de seguridad, con preguntas sobre cómo pudo haber sucedido esto y la implementación deficiente del método de verificación de Gmail. Google necesita una solución lo antes posible.

Actualización 6/6: El equipo de prensa de Google me contactó para brindarme más detalles sobre el truco de verificación de Gmail:

«Este problema se deriva de una vulnerabilidad de seguridad de terceros que permite que los malos actores parezcan más confiables de lo que son. Para ayudar a mantener a los usuarios seguros, exigimos a los remitentes que utilicen el estándar de autenticación DomainKeys Identified. Mail (DKIM) más sólido para calificar para la marca estado de los indicadores para identificar mensajes (marca azul)”, explicó un portavoz de Google.

Google también ha proporcionado el siguiente enlace para cualquiera que desee más información sobre DKIM. Además, el portavoz confirmó que una solución «se implementará por completo al final de la semana».

Identificar y resolver este problema rápidamente es definitivamente algo bueno. Dicho esto, vale la pena señalar que Google tiene que aceptar la culpa por construir un sistema de verificación sobre un servicio de terceros fácilmente explotable. Un comentario hecho por varios observadores en respuesta al trabajo de Jonathan Rudenberg, quien replicó con éxito el truco la semana pasada.

Nuevamente, el crédito es para Chris Plummer por detectar y obligar a Google a reconocer este problema, a Rudenberg por reproducir el truco y ahora a Google por su rápida respuesta. Por definición, un sistema de remitente verificado debe ser estricto o se vuelve activamente peligroso.

No hace falta decir que Google ahora está bajo una inmensa presión para tener éxito en el segundo intento, ya que todos los piratas informáticos y estafadores buscarán nuevas soluciones. Mi recomendación: no confíes ciegamente en ningún correo electrónico, mantente alerta, usa tu sentido común y no hagas clic en enlaces ni respondas a ningún mensaje que despierte sospechas.

___

Sigue a Gordon en Facebook

Más información sobre Forbes

MÁS FORBESGoogle corrige la segunda vulnerabilidad de Chrome Zero Day en una semanaPor gordon kelly