Google strašno kasnio sa zakrpavanjem Gmaila i G Suitea

 Da sigurnosna stručnjakinja Allison Husain koja ih je i otkrila i o tome javila Googleu nije u srijedu, smatrajući da je dovoljno čekanja, objavila propuste na svom blogu, Google bi čekao do rujna da aplicira zakrpu.

Prema Husain, radi se o propustu koji je omogućava slanje lažnih (spoofed) mailova koji se predstavljaju kao da dolaze od Gmail ili G Suite korisnika. Težina propusta ogleda se u tome da su mailovi mogli proći SPF (Sender Policy Framework) i DMARC (Domain-based Message Authentication, Reporting and Conformance) sigurnosne provjere i biti dalje proslijeđeni kao autentični.

Propust, prema Husain, kombinira dva buga u Googleovim servisima.

Prvi omogućava napadaču slanje lažnih mailova na gateway na Gmail ili G Suite backendu. Napadač može pokrenuti ili iznajmiti email server na Gmail ili G Suite backendu, dozvoliti lažnom mailu prolaz i onda na red dolazi korištenje drugog buga koji omogućava napadaču postavljanje vlastitih rutina za prosljeđivanje mailova koje prihvate dolazni mail i proslijede ga uz istovremeno lažiranje bilo kojeg korisnika Gmaila ili G Suitea i to korištenjem njihove vlastite funkcije „Change envelope recipient“.

Ovako proslijeđeni mailovi bivaju odobreni od Googleovih servisa i usklađeni sa SPF i DMARC sigurnosnim procedurama te se čine kao autentični mailovi s Googleovih servera koji uglavnom važe za visoko sigurne pa ih programi za detektiranja spama i lažnih mailova uglavnom ne filtriraju.

Usprkos navrat-nanos izvedenom prekjučerašnjem krpanju propusta, jučerašnji prekidi u radu Googleovih servisa diljem svijeta, a koje su i u nas osjetili neki od korisnika, srećom, trajali su svega nekoliko sati.