פנטרה לאבס: תוקפים יכולים לנצל את מנגנון גוגל כדי לתקוף חשבונות Gmail
לפי החברה, תוויות האבטחה של Gmail אינן מבטיחות שקובץ או קישור הם בטוחים או בלתי מזיקים ורמת האמינות ש-Gmail נותן לקבצי drive יכולה להיות מנוצלת על ידי תוקפים ולהפוך את המנגנון של גוגל להפצת קבצים זדוניים
Pentera Labs, זרוע המחקר של חברת פנטרה, חשפה שני פגמים באינטגרציה בין Gmail ל-Google Drive. הפגמים הללו מאפשרים לקבצים זדוניים לעקוף את מנגנוני האבטחה המובנים של גוגל ולהגיע לתיבות הדואר הנכנס של המשתמשים כשהם נושאים חותמת אישור "נסרק על ידי Gmail".
בממצא הראשון, המחקר מדגים כיצד קבצים שנחסמו במפורש על ידי סורק הקבצים של Gmail ניתנים להעלאה ל-Google Drive, ומשם ניתן לשתף אותם באמצעות פונקציית Drive-to-Gmail המובנית בפלטפורמה.
הנמען מקבל קבצים אלה כקבצים מצורפים סטנדרטיים, יחד עם תווית האבטחה המהימנה של Gmail, למרות שהקובץ זוהה קודם לכן כזדוני על ידי הסורק המובנה - Gmail.
הממצא השני חל במיוחד על קבצי הרצה, כלומר, קבצי executable . Google Drive מציג למשתמשים אזהרה לפני הורדת הקבצים הללו ו-Gmail חוסם אותם לחלוטין כקבצים מצורפים. חוקרי Pentera Labs הראו כי כאשר אותם קבצים מנותבים דרך Google Drive אל Gmail, אזהרת ההורדה כבר אינה מופיעה, וניתן לעקוף את מגבלות הקבצים המצורפים של Gmail. הנמענים יכולים להוריד את הקובץ ללא כל אזהרה.
לחשוד גם בקבצים ש-Gmail מסמנת כ"בטוחים"
פנטרה Labs היא יחידת מחקר הסייבר של פנטרה, אשר חוקרת ומגלה שיטות תקיפה מתקדמות באופן עצמאי. אותן שיטות מתורגמות לבדיקות אוטומטיות בתוך הפלטפורמה של פנטרה, ומאפשרות לארגונים להתגונן מפניהן.
בן אילקשי, חוקר אבטחה Pentera Labs : "קובץ ש-Gmail מסמנת כזדוני ומסרבת לשלוח, עדיין יכול להגיע לתיבת הדואר דרך Google Drive, כשהוא מוצג כאילו ניסרק ואושר. מנקודת המבט של המשתמש, אין שום הבדל נראה לעין. הקובץ הזדוני נראה כמו קובץ רגיל ואמין."
חוקרי פנטרה לאבס משערים כי בעיות אלו עשויות לנבוע מכך ש-Gmail מעניקה רמת אמינות גבוהה באופן מובנה לקבצים שמקורם ב Google Drive, מתוך הנחה שתוכן שמגיע מתוך האקו-סיסטם של גוגל כבר נבדק ואומת מראש.
תוקפים עלולים לנצל את הפער הזה, ולהפוך את התשתית של גוגל עצמה למנגנון יעיל להפצת נוזקות במסגרת קמפייני פישינג. הסיכון חורג מעבר לסביבות ארגוניות, ועלול להשפיע על כל אדם המחזיק בחשבון Gmail.
גוגל אישרה את נכונות הממצאים, אך נכון למועד הפרסום, טרם פורסם תיקון או מועד רשמי לטיפול בנושא.
- חברת הפודטק הישראלית, פיטולון גייסה 23.6 מיליון דולר בסבב B
- אולימפוס רוכשת את ביופרוטקט הישראלית ב־270 מיליון דולר
- תוכן שיווקי שוק הסקנדרי בישראל: הציבור יכול כעת להשקיע ב-SpaceX של אילון מאסק
- גוגל הופכת את החיפוש לסוכן אישי
בהודעת החברה היא מציינת כי צוותי אבטחה יכולים להתגונן בכך שיתייחסו להודעות דוא"ל המכילות קישורי Google Drive באותה רמת חשדנות כמו לקבצים מצורפים ישירות למייל, ללא קשר לתוויות האבטחה. הם יכולים גם להגדיר שערי גלישה מאובטחים (Secure Web Gateways) כך שיבודדו (יבצעו Sandbox) לקבצים המורדים מקישורי Google Drive. כמו כן הצוות של פנטרה ממליץ לאכוף כללי תאימות תוכן ב-Gmail לצורך סימון או בידוד הודעות ממקורות חיצוניים הכוללות קישורי שיתוף של Drive.
עבור כלל הציבור המחזיק בחשבון מייל של ג'ימייל מומלץ להתייחס להודעות דוא"ל עם קישורי Google Drive באותו אופן שבו מתייחסים לקבצים מצורפים בלתי צפויים, גם אם Gmail מסמנת אותם כ"בטוחים" או "נסרקו". לפי החברה תוויות האבטחה של Gmail אינן מבטיחות שקובץ או קישור הם בטוחים או בלתי מזיקים.
