Нова функція Google повинна була забезпечити більшу безпеку, але може виявитися двосічною зброєю.
Минулого місяця Google вирішив впровадити нову систему галочок. Вона має допомогти перевіряти електронні листи, надіслані перевіреними організаціями та компаніями, відфільтровуючи повідомлення від одержувачів, які не були перевірені користувачем або Google.
Лист із синім індикатором означає, що користувач може відкрити його, не побоюючись підозр у шахрайстві, спамі або спробі отримати доступ до свого акаунта.
На практиці, як попереджає інженер з кібербезпеки Кріс Пламмер (Chris Plummer), новітнє рішення може стати для користувачів двосічною зброєю.
Завдяки помилці в системі, запровадженій Google, шахраї можуть змусити Gmail підтвердити свою фальшиву електронну пошту, відобразивши синю позначку, яка вказує на те, що повідомлення є безпечним.
Інженеру вдалося виявити, як шахраї можуть змусити синю галочку "підтвердити" свою несанкціоновану Google адресу електронної пошти. Кріс Пламмер надіслав звіт про помилку в Google після того, як помітив шахрая, який надіслав підтверджений електронний лист від імені UPS. Повідомлення навіть містило іконку UPS в логотипі, який відображався в Google. Пошуковий гігант спочатку відхилив повідомлення Пламмера, заявивши, що не буде виправляти помилку, оскільки "це навмисна поведінка".
Але Google швидко змінив свою думку і надіслав досліднику наступне повідомлення:
Придивившись уважніше, ми зрозуміли, що це справді не схоже на загальну прогалину з SPF. Тому ми знову відкриваємо це питання, і відповідна команда уважніше вивчає те, що відбувається. Ще раз перепрошуємо за плутанину і розуміємо, що наша початкова відповідь могла вас розчарувати, але щиро дякуємо за те, що підштовхнули нас до подальшого вивчення цього питання! Ми будемо тримати вас в курсі наших оцінок і того, в якому напрямку рухається ця проблема. З повагою, Команда безпеки Google
Google присвоїв цій помилці статус P1, що означає, що вона має найвищий пріоритет. Однак до його виправлення користувачам Gmail слід з обережністю ставитися до підтверджених повідомлень Gmail, які не є повідомленнями від компанії, за яку вони себе видають. Не переходьте за посиланнями і, звісно, не надавайте жодної конфіденційної інформації.
