Google vá lỗ hổng giả mạo email sau khi thông tin bị công khai

Lỗ hổng bảo mật được nhà nghiên cứu Allison Husain tiết lộ vào ngày 19/8 và mô tả trong một bài đăng trên blog cũng như chia sẻ cả những bằng chứng chứng minh về lỗ hổng (proof-of-concept - PoC). 

Vấn đề liên quan đến việc rà soát lỗi khi cấu hình định tuyến email, kẻ tấn công có thể khai thác để gửi email với tư cách người dùng Gmail hoặc G suite khác nhau khi chúng vượt qua được các cơ chế bảo mật như DMARC và SPF.

Husain đã chứng minh những phát hiện của mình bằng cách sử dụng miền G Suite cá nhân của mình để gửi một email từ địa chỉ @google.com đến một tài khoản email G Suite trên một miền mà cô đã không kiểm soát.

Nhà nghiên cứu giải thích: "Tôi đã chọn gửi tới một tài khoản G Suite khác để chứng minh rằng những kỹ thuật chống thư rác và lọc thư mạnh mẽ của Google không chặn hoặc phát hiện tấn công này. Ngoài ra, tôi đã chọn google.com mạo danh vì chính sách DMARC của họ được thiết lập p=reject (loại bỏ) và do đó bất kỳ xâm phạm nào đối với SPF (bất kể chính sách SPF) đều có thông báo về tổn hại được đưa ra".

Cuộc tấn công đã lợi dụng điểm yếu liên quan tới các quy tắc định tuyến email mà kẻ tấn công có thể sử dụng để "chuyển tiếp và cung cấp xác thực cho những thông điệp lừa đảo".

Lỗ hổng được báo cáo tới Google vào ngày 3 tháng 4 và được công ty xác nhận vào ngày 16 tháng 4. Lỗ hổng được xếp mức độ ưu tiên và nghiêm trọng là "2". Google sau đó đã sao lưu lại lỗ hổng nhưng vẫn không đưa ra bản vá. Vào ngày 1 tháng 8, Husain thông báo với công ty rằng cô sẽ công khai những phát hiện của mình vào ngày 17 tháng 8.

Google trao đổi với nhà nghiên cứu Husain rằng họ sẽ phát hành bản vá vào ngày 17/9 nhưng lỗ hổng thực sự đã được xử lý chỉ 7 giờ sau khi những thông tin chi tiết về lỗ hổng được công khai và 137 ngày sau khi biết sự tồn tại của nó.