Die Sicherheit von Gmail war schon immer eines der größten Verkaufsargumente, doch nun wird eine der wichtigsten neuen Sicherheitsfunktionen von Hackern aktiv genutzt, um Nutzer zu betrügen.
Das im vergangenen Monat eingeführte Gmail-Checkmark-System hebt verifizierte Unternehmen und Organisationen mit einem blauen Häkchen hervor. Es soll den Nutzern helfen zu erkennen, welche E-Mails legitim sind und welche von Betrügern stammen. Leider haben die Betrüger das System ausgetrickst.
Wie der Cybersicherheitsingenieur Chris Plummer herausfand, haben Betrüger einen Weg gefunden, Gmail davon zu überzeugen, dass ihre gefälschten Marken legitim sind. So nutzen sie das Vertrauen aus, das das Häkchen-System den Gmail-Nutzern eigentlich einflößen soll.
“Der Absender hat einen Weg gefunden, das maßgebliche Gütesiegel von @googlemail, dem die Endnutzer vertrauen, zu überlisten”, erklärt Plummer. “Diese Nachricht ging von einem Facebook-Konto zu einer britischen Netzsperre, zu O365 und zu mir. Nichts davon ist echt.”
Plummer berichtet, dass Google seine Entdeckung zunächst als “absichtliches Verhalten” abtat, bevor seine Tweets darüber viral gingen und das Unternehmen den Fehler einräumte. In einer Stellungnahme an Plummer schrieb Google:
“Nach eingehender Untersuchung haben wir festgestellt, dass es sich nicht um eine allgemeine SPF-Schwachstelle handelt. Daher öffnen wir den Fall wieder, und das zuständige Team wird sich die Sache genauer ansehen.
Wir entschuldigen uns nochmals für die Verwirrung und verstehen, dass unsere erste Antwort frustrierend war. Vielen Dank, dass Sie darauf bestanden haben, dass wir uns die Sache genauer ansehen!
Wir werden Sie auf dem Laufenden halten, wie wir das Problem einschätzen und in welche Richtung wir uns bewegen.
Mit freundlichen Grüßen, Google-Sicherheitsteam“.
Plummer weist darauf hin, dass Google die Schwachstelle nun als “P1”-Lösung (höchste Priorität) eingestuft hat, die derzeit “in Arbeit” ist.
Plummer gebührt große Anerkennung, nicht nur für seine Entdeckung, sondern auch für seine Bemühungen, Google dazu zu bringen, das Problem anzuerkennen. Solange Google das Problem nicht behebt, bleibt das System zur Überprüfung der Gmail-Häkchen fehlerhaft und wird von Hackern und Spammern ausgenutzt, um genau das zu erreichen, was es eigentlich bekämpfen soll. Bleiben Sie wachsam.
Sicherheitsexperten beginnen zu verstehen, wie das System zur Überprüfung von Gmail-Häkchen ausgetrickst und auf andere E-Mail-Dienste übertragen werden kann. In einem Blogeintrag hat der Debugger Jonathan Rudenberg enthüllt, dass es ihm gelungen ist, den Gmail-Hack zu replizieren:
“Die BIMI-Implementierung von Gmail erfordert nur eine Übereinstimmung mit dem SPF, die DKIM-Signatur kann von jeder beliebigen Domäne stammen. Das bedeutet, dass jeder gemeinsam genutzte oder falsch konfigurierte Mailserver in den SPF-Einträgen einer BIMI-aktivierten Domäne ein Vektor für den Versand gefälschter Nachrichten mit voller BIMI-Behandlung in Gmail sein kann…
Der Einsatz von BIMI ist schlimmer als der Status quo, denn er ermöglicht superstarkes Phishing auf der Grundlage einer einzigen Fehlkonfiguration in dem äußerst komplexen und anfälligen E-Mail-Stapel.”
Rudenberg hat auch Ergebnisse für BIMI-Implementierungen bei anderen wichtigen E-Mail-Diensten veröffentlicht, die besagen
- iCloud: prüft ordnungsgemäß, ob DKIM mit der Von-Domäne übereinstimmt
- Yahoo: BIMI-Behandlung wird nur bei Massensendungen mit hoher Reputation angewandt
- Fastmail: anfällig, unterstützt aber auch Gravatar und verwendet die gleiche Behandlung für beide, so dass die Auswirkungen minimal sind
- Apple Mail + Fastmail: verwundbar mit einer gefährlichen Behandlung
Ja, das bedeutet, dass auch Nutzer von Apple Mail und Fastmail wachsam sein müssen, auch wenn sie nicht dasselbe Verifizierungssystem wie Gmail verwenden. Die Security-Community hat sehr kritisch auf diese Sicherheitslücke reagiert und Fragen dazu gestellt, wie es dazu kommen konnte und wie schlecht die Verifizierungsmethode von Gmail implementiert ist. Die Sicherheitslücke muss von Google so schnell wie möglich geschlossen werden.