(ANSA) – MILANO, 07 GIU – Poco prima della conferenza per
sviluppatori, I/O 2023 di maggio, Google ha annunciato l’arrivo
delle spunte blu su Gmail. L’obiettivo è quello di validare il
mittente di un messaggio, per ridurre la possibilità di posta
fasulla, phishing e altre problemi di sicurezza informatica. Un
ricercatore ha però scoperto che il sistema di verifica della
piattaforma può essere aggirato. Chris Plummer, un esperto in
sicurezza informatica, ha condiviso su Twitter la criticità.
Utilizzando un falso dominio del vettore internazionale Ups e
utilizzando il logo dell’azienda, Plummer è riuscito a inviare
un messaggio di posta, chiaramente falso, beneficiando del
sistema di verifica automatica di Gmail, che lo ha considerato
come proveniente davvero da un account Ups. Pur senza
dettagliare troppo la problematica, l’esperto ha lasciato
intendere la presenza di una falla nel processo di validazione
dei mittenti, che si basa su un sistema automatizzato e non un
controllo umano.
Alla notizia, è scesa in campo la stessa Google, che ha
spiegato meglio la situazione. Big G ha fatto sapere che il
problema deriva dal malfunzionamento nella gestione esterna
della verifica, che può essere aggirata da terzi nel caso di
alcune combinazioni. A quanto pare, la vulnerabilità è presente
nel processo di autenticazione, utilizzato da Gmail, dello
standard Bimi (Brand Indicators for Message Identification).
“Questa criticità sfrutta una vulnerabilità della sicurezza di
terze parti che consente ai malintenzionati di apparire più
affidabili di quanto non siano. Per garantire la sicurezza degli
utenti, richiediamo ai mittenti di utilizzare lo standard di
autenticazione più affidabile DomainKeys Identified Mail (Dkim)
per qualificarsi per lo stato degli indicatori di marca per
l’identificazione dei messaggi (segno di spunta blu)”. (ANSA).
Fonte Ansa.it