Google, Gmail’de ciddi bir güvenlik açığı oluşturuyor
Google ,Gmail ve G Suite için e-posta sunucularında ciddi bir güvenlik açığını kapattı.
Hata, sahte e-postaların Gmail veya G Suite kullanıcıları adına gönderilmesine izin verdi. Google, yalnızca güvenlik açığının ayrıntıları yayınlandıktan sonra bir güncelleme sağladı.
Gmail (Resim: Google)Güvenlik açığı, Nisan ayı başlarında Google’ı sorun hakkında bilgilendiren güvenlik araştırmacısı Allison Husain tarafından keşfedildi . Ona göre, Google iki hafta içinde onayladı, ancak olası bir güncelleme hakkında yorum yapmadı. Ağustos ayının başında, hatayı bildirdikten 120 gün sonra, Google’a 17 Ağustos için bir son tarih belirledi. Süresi dolmadan üç gün önce Google, deliği 17 Eylül’e kadar kapatacağını duyurdu.
AllisonHusain, güvenlik açığının ayrıntılarını nihayet Çarşamba günü, orijinal hata raporlarından 137 gün sonra bir blog gönderisinde halka açıkladı. Google, yedi saat içinde bir yama ile yanıt verdi.
Araştırmacı tarafından geliştirilen sahtekarlık saldırısı, bilgisayar korsanlarının Gmail veya G-Suite arka ucunda e-posta sunucularını çalıştırabilmesinden ve onları saldırganlardan aldatıcı e-postaları iletecek şekilde yapılandırabilmesinden yararlanmaktadır. “Zarf Alıcısını Değiştir” adlı bir işlevin yardımıyla, gelen e-postalar için gönderenin yerine başka bir Gmail veya G Suite kullanıcısının kimliğinin geçtiği kendi yönlendirici kurallarınızı oluşturabilirsiniz.
Bu yöntemin açıkça, iletilen e-postaların Gmail ve G Suite tarafından kontrol edilmesi ve SPF ve DMARC güvenlik standartlarına uygun olarak sınıflandırılması avantajı vardır. Bu, alıcının e-posta sisteminin sahte iletileri gerçek olarak tanıması olasılığını artırır.
AllisonHusain, “Mesaj Google arka ucundan geldiğinden, mesajın daha düşük bir spam puanına sahip olması ve bu nedenle daha seyrek filtrelenmesi gerekebilir,” diye ekledi. Sorun, Google hizmetleriyle de sınırlıdır.
Google, örneğin Project Zero tarafından keşfedilen üçüncü taraf ürünlerindeki güvenlik açıklarını, genellikle 90 günlük bir süre sonra istisnasız olarak yayınlamasıyla bilinir. Belirli koşullar altında, Google ayrıca bir mola verebilir, Google’ın Husain’e karşı gösterdiği davranış muhtemelen her zaman Project Zero çalışanlarını da bulgularını açıklamaya sevk ederdi.
AllisonHusain, blog yazısında Google’a karşı kin beslemediğini vurguluyor. Google’ın güvenlik ekibiyle iletişim her zaman dost canlısıdır. Google, güvenlik açığının ifşa edilmesini hiçbir zaman engellemeye çalışmadı. Bir güncellemede, Google’ın blog yayınına verdiği hızlı tepkiyi “olağanüstü” olarak tanımlıyor.