Google retter emailspoofing-sårbarhed

Kun få timer efter offentliggørelse af sårbarheden blev en rettelse udsendt.

Google har adresseret en e-mailspoofing sårbarhed, der påvirker Gmail og Gsuite. Det skriver Security Affairs.

Sårbarheden opstår som følge af manglende verifikationer ifm. konfigurering af email. Konkret kan sårbarhedens udnyttelse komme til udtryk ved, at en email ser ud til at være afsendt af en anden Gmail eller Gsuite-bruger. I realiteten er det en afsender, der tilsyneladende kan tage en andens emailidentitet og derved sende en mere troværdigt udseende email med et uvederhæftigt indhold, fx. med et phishingformål.

Sårbarheden er kritisk, for den muliggør, at meddelelsen kan omgå kendte beskyttelsesmekanismer som SPF og DMARC. Dvs. DMARC/SPF-politikken hos brugere af Gmail og/eller Gsuite kan blive undergravet af tjenestens egne regler for mailrouting. Dermed kan falske meddelelser for modtageren se ud til at være ægte. 

Hurtig respons hos Google – trods alt

Sårbarheden og de tekniske detaljer blev ifølge Security Affairs offentliggjort af en sikkerhedsforsker, Allison Husain, onsdag i denne uge, men den blev allerede indrapporteret til Google i april. Den 1. august underrettede Husain Google om, at hun havde til hensigt at offentliggøre fejlen den 17. august. Det gjorde hun så den 19. august. Syv timer senere oplyste Google, at problemet var blevet løst.

På Alison Husains egen blog beskriver hun under overskriften "The confused mailman" opdagelsen i detaljer og forløbet fra hendes indrapportering til Google, til rettelsen blev lavet.

Links:

https://ezh.es/blog/

https://securityaffairs.co/wordpress/107360/hacking/google-email-spoofing-flaw.html