Gmail Kusuru, Bilgisayar Korsanlarının Güvenlik Kontrollerini Atlamasına İzin Verdi

Gmail, dünya nüfusunun %18,75’ine tekabül eden 1,5 milyar gibi devasa bir kullanıcı sayısına ulaşan en yüksek kullanıcı sayısına sahiptir.

Gmail, bilgisayar korsanlarının kullanıcı hesaplarını ele geçirmesini önleyen güvenlik özellikleriyle tanınır.

Gmail, Apple, Google vb. onaylı markalar için mavi bir onay işareti gösteren yeni bir özellik yayınladı.

Bu sistem, spam gönderenleri ve yasal şirket e-postalarını ayırmak için tanıtıldı.

Ancak tehdit aktörleri, spam e-postalar ve mavi onay işareti göndererek bu özelliği kötüye kullanmanın yeni bir yolunu bulmuşlardır.

Gmail Onay İşareti Sistemin Kötüye Kullanımı

Gmail Onay İşareti Sistemi, kullanıcıların spam e-postalardan gelen taklitçilerle mücadele etmesine yardımcı olmak için sunulan bir özellikti. Bu hata, bu hatayı Google’a bildiren güvenlik araştırmacısı Chris Plummer tarafından keşfedildi.

Ne yazık ki, bu hataya “” şeklinde yanıt verildi.Amaçlanan Davranış” ve “ şeklinde yorumlanmıştır.Düzelmeyecek”

Ancak araştırmacı, e-postanın yönlendirilmesinin yasal olmadığını belirten bir açıklama yaptı.

Chris Plummer, “Gönderen, @gmail’in son kullanıcıların güveneceği yetkili onay damgasını aldatmanın bir yolunu buldu. Bu mesaj bir Facebook hesabından İngiltere’deki bir ağ bloğuna, O365’e ve bana gitti. Bu konudaki hiçbir şey yasal değil.”

Araştırmacının bir dizi tweet’inden sonra Google bu sorunu birinci öncelik olarak aldı (P1) ve şu anda bu sorunu çözmek için çalışıyor.

Dolandırıcılar tarafından istismar edilen Gmail’de kesinlikle bir hata var, bu yüzden bir hata gönderdim. @google “düzeltmeyecek – amaçlanan davranış” olarak tembelce kapatıldı. Bir dolandırıcı nasıl taklit edilir? @GÜÇ KAYNAĞI böyle inandırıcı bir şekilde “amaçlanmış”. pic.twitter.com/soMq7KraHm

– erik (@chrisplummer) 1 Haziran 2023

Google ayrıca ilk yanıt için özür diledi ve “Daha yakından baktıktan sonra, bunun gerçekten de genel bir SPF güvenlik açığı gibi görünmediğini fark ettik. Böylece bunu yeniden açıyoruz ve uygun ekip neler olup bittiğine daha yakından bakıyor”.

Karışıklık için tekrar özür dileriz ve ilk yanıtımızın hayal kırıklığı olabileceğini anlıyoruz; Buna daha yakından bakmamız için baskı yaptığınız için çok teşekkür ederiz!”.

Her araştırmacı, büyük teknoloji şirketlerinde yüksek öncelikli güvenlik açıklarını bulmak için çok zaman harcıyor.

Yüksek öncelikli biletleri bir çırpıda kapatan ve “düzelmez” sorusu herhangi bir güvenlik araştırmacısını ve onun çabasını küçük düşürecektir.

Teknoloji şirketlerinin, açıklanan herhangi bir güvenlik açığını geçersiz olarak onaylamadan önce daha yakından incelemeleri önerilir.

Güvenlik Düzeltme Eki’ni Sisteminize Uygulamakta Zorlanıyor Musunuz? –
All-in-One Patch Manager Plus’ı Deneyin