Προκειμένου να αποφευχθούν περαιτέρω επιθέσεις ηλεκτρονικού ψαρέματος (phishing) στους χρήστες του Gmail, η Google αναφέρει ότι θα ενισχύσει την επιβολή του συστήματος OAuth που χρησιμοποιεί για τη σύνδεση των εφαρμογών τρίτων με τους λογαριασμούς της Google.
Η Google εξηγεί λεπτομερέστερα το πώς σκοπεύει να αντιμετωπίσει την κατάχρηση των συστημάτων της για την εξάπλωση μηνυμάτων ηλεκτρονικού “ψαρέματος” μετά την επίθεση phishing της περασμένης εβδομάδας με μια εφαρμογή που υποτίθεται ότι ήταν το Google Docs.
Η ψεύτικη εφαρμογή του Goοgle Docs χρησιμοποιούσε την τεχνολογία OAuth της Goοgle για να ζητήσει πρόσβαση στους λογαριασμούς Gmail των στόχων. Εάν οι χρήστες χορηγούσαν πρόσβαση στην εφαρμογή, το ίδιο email ηλεκτρονικού ψαρέματος αποστελλόταν σε όλες στις επαφές του θύματος.
Αξίζει να αναφέρουμε ότι η συγκεκριμένη είδηση κυκλοφορεί εδώ και μια βδομάδα με τίτλους που κάνουν την Ελληνική διαδικτυακή κοινότητα και ειδικά τους αρχάριους χρήστες να θεωρούν ότι το Gmail μοιράζει ιούς και άλλα “διαβολικά” πράγματα “που χαλάνε τους υπολογιστές”…
Αυτή δεν είναι η πρώτη φορά που εισβολείς έχουν χρησιμοποιήσει το OAuth της Goοgle για phishing.
Οι λεγόμενοι hackers Fancy Bear, έχουν χρησιμοποιήσει την ίδια τεχνική στις αμερικανικές και τώρα στις γαλλικές εκλογές. Όπως επισημαίνει ένας εμπειρογνώμονας ασφαλείας, η Goοgle θα μπορούσε να είχε αποτρέψει αυτές τις απόπειρες phishing με ένα πιο λεπτομερή έλεγχο των προγραμματιστών που εγγράφονται για να χρησιμοποιήσουν το μηχανισμό OAuth.
Ο Chet Wisniewski, κύριος ερευνητής της εταιρείας ασφάλειας Sophos, αναφέρει ότι η επίθεση phishing με τα ψεύτικα Docs “δεν διαφέρει από την κατάχρηση του Goοgle Play Store από τους προγραμματιστές κακόβουλου λογισμικού”. Μόνο που αντί να ανεβάσουν μια κακόβουλη εφαρμογή στο Google Play, ο χρήστης λαμβάνει ένα μήνυμα ηλεκτρονικού ταχυδρομείου από την Google και εξουσιοδοτεί μια εφαρμογή μέσω του OAuth της εταιρείας.
Η Goοgle, διαθέτει ήδη αρκετούς μηχανισμούς για την καταπολέμηση αυτού του τύπου επιθέσεων “ψαρέματος” (phishing), όπως ο μηχανισμός εντοπισμού και ανίχνευσης ανεπιθύμητων μηνυμάτων μηχανικής μάθησης, το σύστημα Ασφαλούς περιήγησης αλλά και τον έλεγχο για ιούς σε συνημμένα.
Ωστόσο, η εταιρεία δήλωσε ότι θα ενημερώσει τις πολιτικές της στις εφαρμογές που χρησιμοποιούν το OAuth.