由于 GmailBIMI身份验证系统存在漏洞,谷歌向其 18 亿 Gmail 用户发出了新的安全警告。骗子利用了这一安全功能,使用户处于危险之中。
Gmail 的安全性一直是一大卖点。但是,最近在其主要安全功能之一中发现了一个重大漏洞。
上个月,谷歌推出了 Gmail 的 BIMI 检查标记系统。它可以帮助用户辨别真假邮件和骗子发送的邮件。
然而,骗子们已经找到了利用这一系统的方法,将 Gmail 的 18 亿用户处于危险之中。
引入该系统是为了打击网络钓鱼和假冒攻击。该 蓝色验证标记系统可向用户突出显示已通过验证的公司和组织。
这个想法是为了给用户灌输信心,让他们辨别哪些邮件是合法的,哪些可能是由冒名顶替者发送的。不幸的是,诈骗者已经设法操纵了这个系统。
Gmail 的网络安全工程师 Chris Plummer 是第一个发现骗子操纵 Gmail BIMI 系统的人。他们诱使 Gmail 将他们的假冒品牌视为真实品牌。这让骗子们绕过了系统的目的。该系统旨在建立用户信任。
Plummer 立即向谷歌报告了他的发现。他们希望谷歌能迅速做出反应,解决这个漏洞。谷歌最初对他的发现置之不理。他们称之为 "预期行为"。这引起了安全专家和用户的不满。
由于 Plummer 的推文引起了人们的关注,加上该问题接下来的病毒式传播,谷歌很快就认识到了问题的严重性。公司承认了这一错误,并将其列为最优先修复的问题。
在给 Plummer 的一份声明中,Gmail 的安全团队对他坚持不懈地提高人们对这一问题的认识表示感谢。他们向他和用户社区保证,相关团队正在解决这个漏洞。
Gmail 的安全团队正在积极解决 Gmail BIMI 身份验证系统中的漏洞。他们对造成的混乱表示歉意。他们还表达了迅速解决问题的承诺。
修复工作目前正在进行中。Gmail 安全团队的目标是随时向用户通报他们的评估结果以及解决问题的方向。在等待修复期间,Gmail 用户必须保持警惕,并在处理可疑电子邮件时谨慎行事。
最近的一些进展调查了 Gmail 的徽标验证系统。他们展示了骗子是如何利用该系统的,以及这对其他电子邮件服务意味着什么。
乔纳森-鲁登伯格是 Gmail 安全团队的一名调试员。他在 Gmail 上复制了这次黑客攻击,并证明其他主要电子邮件服务也容易受到类似攻击。
这一启示引起了安全界对Gmail验证方法的漏洞和实施不力的担忧。
Rudenberg 发现,Gmail 的BIMI实现只要求 SPF 匹配。DKIM 签名可以来自任何域。
这种错误配置允许启用了 BIMI 的域的 SPF 记录中的任何共享或错误配置的邮件服务器发送欺骗邮件。它们将在 Gmail 中得到全面的 BIMI 处理。
对其他主要电子邮件服务的 BIMI 的进一步调查显示了以下情况:
这些发现表明,我们需要更好的安全性。许多电子邮件服务都需要更好的安全性。这将阻止骗子利用弱点。
谷歌的新闻团队提供了关于Gmail验证黑客的进一步细节。该问题源于一个第三方安全漏洞,该漏洞允许不良行为者看起来比他们更值得信任。
为确保用户安全,谷歌现在要求发件人使用 DKIM。这是一种更强大的电子邮件验证标准。发件人需要使用 DKIM 才能获得品牌信息识别指标(蓝勾)状态。
DKIM提供了一个更强大的认证水平,并有助于防止欺骗性攻击。
谷歌已向用户保证,针对该漏洞的修复程序将于本周末全面推出。迅速发现并修复这一问题表明了谷歌对用户安全的承诺。
但是,谷歌必须建立一个验证系统。它将建立在容易被利用的第三方服务之上。一些观察家强调了这一点。他们强调需要一个强大的验证系统。这是为了保证用户的信任和安全。
最近的 Gmail 安全警告是关于一个漏洞的。这说明了对不断变化的威胁保持警惕的重要性。
谷歌正在修复该漏洞。但是,用户必须谨慎,并使用额外的安全措施。这将保护他们免受潜在的诈骗。