Problemen med blå verifieringssymboler fortsätter. Den här gången berör det inte Twitter (som sedan tidigare har valt att göra världen osäkrare genom att sälja verifieringssymboler utan att verifiera köparna). Den här gången ligger problemet hos Gmail.
Sommaren 2021 lade Google till stöd för BIMI i Gmail. BIMI (Brand Indicators for Message Identification) är en relativt ny standard som ger stora organisationer möjlighet att få sin logotyp visad som e-postavsändarens profilbild i kompatibla e-postappar såsom Gmail och Apple Mail. För att kunna använda BIMI måste organisationen ha en tredjepartsverifierad logotyp och ha aktiverat grundläggande spoofing-skydd för sin domän. Kombinationen av dessa krav gör, i teorin, att mottagaren av ett mejl där avsändarorganisationens logotyp visas kan vara säker på att mejlet kommer från organisationen i fråga.
För att tydliggöra BIMI:s funktion började Google förra månaden komplettera BIMI-logotypen med en blå verifieringssymbol. I ett officiellt blogginlägg visar Google hur den blå verifieringssymbolen intill BIMI-logotypen garanterar att ”avsändaren av detta mejl har verifierat att de äger [domänen] och logotypen i profilbilden”.
Bluffmejl fick verifieringssymbol
Tyvärr samspelar inte alltid teorin med verkligheten. I torsdags upptäckte säkerhetsarkitekten Chris Plummer att bedragare lyckades få Gmail att acceptera falska mejl från fraktjätten UPS. Eftersom UPS hade aktiverat BIMI visade Gmail både UPS logotyp och en blå verifieringssymbol. Gmail garanterade alltså att det bedrägliga mejlet var äkta. Chris har publicerat en skärmdump av mejlet på Twitter.
Chris publicerade även mejlets e-posthuvud. E-posthuvudet visar att angriparna drog nytta av e-postsystemets största akilleshäl: automatiska vidarebefordringar. Som författarna av avhandlingen Forward Pass konstaterar finns det ingen perfekt lösning för automatisk vidarebefordring av mejl. Samma lösningar som organisationer förlitar sig på för att vidarebefordra mejl till rätt grupper och medarbetare kan också missbrukas av angripare.
I det här fallet drog angriparna nytta av att allting kring vidarebefordringar är en enda soppa. De skickade mejlet så att det först gick till Microsoft 365 som i sin tur skickade vidare mejlet trots att mejlet kom från en otillåten avsändare. Enligt UPS:s DMARC-policy, som definierar vad mottagande e-postservrar ska göra med spoofade mejl, borde Microsoft 365 ha avvisat mejlet. I stället skickade Microsoft 365 vidare mejlet, så att det kom till Gmail från en avsändare som UPS tillät att skickade mejl från deras domän.
Rekommendationer
Enligt Chris har Google nu bekräftat buggen och gett åtgärdandet högsta prioritet. Problemet med verifiering av vidarebefordrade mejl går dock inte att lösa helt och hållet, varken för Google eller någon annan. Det enda Google kan göra är att helt enkelt inte BIMI-indikera sådana mejl.
I väntan på information om hur Google tänker lösa situationen blir rekommendationen densamma som på Twitter: lita inte på den blå verifieringssymbolen.
BIMI-tekniken lider för övrigt av samma problem som de så kallade EV-certifikaten gjorde (läs mer i vår artikel Slutet för onödiga certifikat från 2019). Om mottagaren ser avsändarorganisationens logotyp kan mottagaren, i teorin, veta att mejlet är äkta, men avsaknaden av en logotyp säger ingenting. Mottagaren kan omöjligtvis veta ifall det borde finnas en logotyp där eller ej. Nyttan av Googles tilltag med en kompletterande blå verifieringssymbol kan därför ifrågasättas.
Kommentarer
Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.