Google čekao 137 dana da zakrpi Gmail i G Suite


Prekjučerašnji problemi sa korišćenjem Google-ovih servisa širom sveta mogli bi lako da budu posledica u sredu izvedene softverske zakrpe Gmail-a i G Suite servisa za čije se bezbednosne propuste zna još od aprila, ali je Google čekao više od četiri meseca da ih zakrpi. Da bezbednosna stručnjakinja Allison Husain koja ih je i otkrila i o tome javila Google-u nije u sredu, smatrajući da je dovoljno čekanja, objavila propuste na svom blogu, Google bi čekao do septembra da aplicira zakrpu.

Prema Husain, radi se o propustu koji je omogućava slanje lažnih (spoofed) mailova koji se predstavljaju kao da dolaze od Gmail ili G Suite korisnika. Težina propusta ogleda se u tome da su mailovi mogli proći SPF (Sender Policy Framework) i DMARC (Domain-based Message Authentication, Reporting and Conformance) bezbednosne provere i biti dalje prosleđeni kao autentični.

Propust, prema Husain, kombinuje dva buga u Google-ovim servisima.

Prvi omogućava napadaču slanje lažnih mailova na gateway na Gmail ili G Suite backendu. Napadač može pokrenuti ili iznajmiti email server na Gmail ili G Suite backendu, dozvoliti lažnom mailu prolaz i onda na red dolazi korišćenje drugog buga koji omogućava napadaču postavljanje sopstvenih rutina za prosleđivanje mailova koje prihvate dolazni mail i proslede ga uz istovremeno lažiranje bilo kojeg korisnika Gmail-a ili G Suite-a i to korišćenjem njihove sopstvene funkcije "Change envelope recipient".

Ovako prosleđeni mailovi bivaju odobreni od Google-ovih servisa i usklađeni sa SPF i DMARC bezbednosnim procedurama te se čine kao autentični mailovi sa Google-ovih servera koji uglavnom važe za visoko sigurne pa ih programi za detekciju spama i lažnih mailova uglavnom ne filtriraju.

Usprkos navrat-nanos izvedenom krpljenju propusta, prekidi u radu Google-ovih servisa širom sveta, a koje su i kod nas osetili neki od korisnika, srećom, trajali su svega nekoliko sati.

Podeli
Pošalji
Podeli
Podeli
Pošalji
Pošalji

Komentariši! Budi prvi i započni diskusiju!
Broj komentara:
0

Postavi komentar

Vaš komentar:

 
Početna      Impressum      Pravila komentarisanja      Marketing      Kontakt
 

 
© 2009-2019 IT vesti - Sva prava zadržana. Zabranjeno je svako kopiranje sadržaja sajta bez pismene dozvole.