A Gmail hitelesítő kék pipával jelzi, ha a levél feladója megbízható, azonban nemrég porszem került a gépezetbe, és csalók is megkapták ezt az igazolást – a Google most egy új hitelesítési megoldást követel meg a külső partnereitől, hogy többé ne fordulhasson elő ilyesmi.
A Google még május elején jelentette be az új biztonsági funkcióját, egy kék pipát a feladó neve mellett, ami azt hivatott jelezni, hogy a levél küldője megbízható. Úgy tűnik azonban, hogy a csalók máris kijátszották a rendszert – írja a 9to5Google.
A problémára Chris Plummer, a Dartmouth Health kiberbiztonsági szakembere világított rá néhány napja: eszerint lehetséges hamisítani ezeket a hitelesítő kék pipákat.
Bár a Google több megoldást is használ a hitelesítéshez, úgy tűnik, ez sem megkerülhetetlen. Bár Plummer nem fejtette ki, a csalók hogyan játszották ki a rendszert, de egy példát bemutatott: egy e-mailben egy csaló az UPS logóját és az ups.com domaint is részben felhasznált a hitelesítés megszerzéséhez. Pedig a kiküldött e-mail egyértelműen nem az UPS-től származott.
További érdekesség az üggyel kapcsolatban, hogy a Google, miután Plummer jelentette a problémát, gyakorlatilag félresöpörte azt, és csak később kezdett újból foglalkozni vele.
Később a Google a 9to5Google-nek kifejtette, hogy a hiba egy harmadik (külső) fél biztonsági sérülékenysége által keletkezett. A jövőben egy új hitelesítési szabványt követelnek meg a harmadik felektől, ami várhatóan megoldja majd a problémát – írták.
A probléma tehát várhatóan hamarosan megoldódik, de az a biztos, ha mindig ellenőrizzük az e-maileket. Ha bármi gyanús jelet észlelünk, vagy nem rendeltünk semmit, érdemes a feladót közvetlenül felkeresni, a hivatalos elérhetőségeiken, hogy ellenőrizzük a levél valóságtartalmát.
