Google管理コンソールでメールのなりすましのセキュリティホールが発見されました

セキュリティ研究者はGoogle管理コンソール内に脆弱性を公開しています。これにより、サイバー攻撃者は未請求ドメインから正当に見えるメールを送信できます。

先月、Security Weekで報告されたように、Patrik FehrenbachとBehrouz SadeghipourはGoogle管理コンソールのセキュリティ上の欠陥(企業のGoogle Appsスイートを制御するために使用されていた)を発見した。これにより、ユーザーは一時的にドメインの申し立てや電子メールの送信を行うことができた。

この脆弱性をテストするために、FehrenbachとSadeghipourは、偽装された電子メールを送信するためにytimg.comやgstatic.comなどのドメインを主張して、この巨人を犠牲者として使用しました。これらのドメインは、ウェブブラウジングにおける帯域幅要件を減らすために、YouTubeと、ファイルのホスティングと静的コンテンツのオフロードの両方に関して、Googleによって使用されています。

テスト中、ブログ記事やビデオに説明されているように、「admin@ytimg.com」や「admin@gstatic.com」など、これらのドメインから送信されるように電子メールが送信されました。

通常、別のサーバーからの偽の電子メールを送信しようとすると、Googleはそのメッセージを認識し、そのサーバーがドメインとはまったく異なって表示されるため、ユーザーに偽造または偽装の可能性があることを警告します。ただし、Google管理コンソールからドメインを申し立てても、受信者に警告は表示されません。そのため、なりすましメールは信頼できる送信元とみなされる可能性があります。

その結果、サイバー攻撃者はこの脆弱性を利用して、信頼できるサーバーから正当な電子メールを送信し、疑わしい電子メールを識別するフラグを含まない電子メールを送信する可能性があります。

年齢に関係なく、プログラミング言語を学ぶことは市場性のあるスキルです。あなたを支援するモバイルアプリがあります。

デュオは言った

匿名のターゲットはISISソーシャルメディア、#OpISISキャンペーンの募集、アンセムの顧客記録は残っていない貧弱なセキュリティ、ベライゾンは電子メールアカウントのオープンシーズンのセキュリティ上の脆弱性を突っついていた;ソニーエグゼクティブのエイミーパスカルはサイバー攻撃、電子メールの暴露、

研究者は、Googleにセキュリティ上の欠陥を報告しました。これは単にFROM no-reply@google.comを適用するだけで修正されました。この刊行物によれば、チームは彼らの仕事に500ドルを授与された。

今週、アップルとGoogleは、ハッカーがMITM(Man-in-the-Middle)SSLを開始できるようにする従来のSSL(Secure Sockets Layer)とTLS(Transport Layer Security)セキュリティの欠陥であるFREAKセキュリティ脆弱性の修正をリリースする予定です。攻撃。

続きを読む:セキュリティの世界で

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

米連邦捜査局(FBI)はCrackasのメンバーを逮捕し、米国政府の役人をハッキングした姿勢を示している;セキュリティ、Wordpressはユーザーに重大なセキュリティホールを修正するように今更新するよう強く促す;セキュリティ、ホワイトハウスは連邦最高情報セキュリティ責任者政府の監視による緊急対応

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン