هکرها از تیک آبی جی میل سواستفاده می کنند
به گزارش وب کنفرانس، تنها یک ماه پیش سرویس جی میل متعلق به گوگل نسخه تیک آبی را عرضه کرد که مشابه تیک آبی توئیتر است و الان مشخص شده هکرها از آن سواستفاده می کنند.
به گزارش وب کنفرانس به نقل از دیلی میل، گوگل خصوصیت احراز هویت را عرضه نمود که در کنار نام فرستنده ظاهر می شود و به خواننده اطمینان می دهد ایمیل ارسالی معتبر است. کلاهبرداران اینترنتی راهی یافته اند تا به این خصوصیت دست یابند. خصوصیت مذکور به آنها اجازه می دهد تا آدرس های جعلی از برندهای مشهور بسازند و احیانا کاربران را فریب دهند تا به اطلاعات حساس شان دسترسی یابند یا پرداخت وجه انجام دهند. یک کارشناس امنیت سایبری ادعا می کند باگ مذکور را به گوگل اطلاع داده اما شرکت آنرا نادیده گرفته است. کریس پلامر مهندس امنیت سایبری در توئیتی در اینباره می نویسد: من باگی را اطلاع رسانی کردم که gogle@ با تاخیر آنرا با عنوان «اصلاح نمی شود- رفتار مورد نظر» رد کرد. این که چگونه یک کلاهبردار هویت @UPS را جعل می کند، با این روش قانع کننده است. این باگ از خصوصیت برند موجود برای خصوصیت شناسایی پیام(BIMI) برپایه سیستم تیک آبی جدید استفاده می نماید. در فرضیه، تیک آبی تایید می کند که آدرس ایمیل می تواند از نام و تصویر آواتار مربوطه(مانند لوگو یک برند مشهور) استفاده نماید. جاناتان رادنبرگ مهندس نرم افزار در اینباره می گوید: احراز هویت نیازمند امضای DKIM( کلیدهای دامنه شناسایی شده میل) است که امکان دارد از هر دامنه ای باشد. کاربران ایمیل های دیگر هم به تازگی مشکلات مشابهی را در BIMI های احراز هویت شده سیستم ایمیل خود( مانند مایکروسافت ۳۶۵ و اپل میل) مشاهده کرده اند. دراین میان به نظر می آید آی کلود و یاهو ایمن تر باشند. خوشبختانه حالا گوگل باگ تیک آبی جعلی را بعنوان یک مشکل اولویت دار ثبت کرده است. یک نماینده گوگل هفته گذشته برای پلامر نوشت: بعد از بررسی دقیق تر متوجه شدیم این باگ شبیه یک نقطه ضعف معمولیSPF نیست. ازاین رو ما پرونده را بازگشایی می نماییم و تیمی این وضعیت را به صورت دقیق تر بررسی می کنند.
منبع: وب كنفرانس
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب