info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

انتشار نقص امنیتی جدی Gmail، گوگل را وادار به رفع آن کرد.

خلاصه: نقص امنیتی Gmail شامل ترکیبی از اکسپلویت‌های G-Suite است که به مهاجمین اجازه می‌دهد داده‌های مسیریابی ایمیل را به عنوان کاربر Gmail نقاب زده و دستکاری کنند. گوگل وصله کردن این آسیب‌پذیری مهم را  ۱۳۷ روز به تأخیر انداخته و برنامه داشت تا این ایراد را ماه سپتامبر برطرف كند. با انتشار عمومی این نقص امنیتی توسط آلیسون حسین، وصله‌های گوگل پس از ۷ ساعت منتشر شدند. 

 

گوگل اکنون یکی از مهم‌ترین شرکت‌های دنیای فناوری است که مالکیت و مسئولیت یکی از بزرگ‌ترین بسترهای ارتباطی یعنی Gmail را بر عهده دارد.  جی‌میل در مقایسه با برنامه‌های نظیر، نه تنها فضای بیشتری به کاربران اختصاص می‌دهد؛ بلکه ویژگی‌هایی را به پلتفرم خود اضافه کرده است که ارسال و سازماندهی پیام‌ها را ساده تر از گذشته می‌کند.

به دلیل محبوبیت و داشتن کاربران بسیار، یک نقص امنیتی یا آسیب‌پذیری در Gmail می‌تواند تهدیدی مهم برای جمع کثیری از کاربران باشد. به لطف یک اشکال غیرمعمول درG-Suite گوگل، این امر حادث شده است و مهاجمین می‌توانند ایمیل‌های ارسالی را جعل کنند و پشت نقاب هر فرستنده دیگری در جی‌میل پنهان شوند.

اشکال G-Suite باعث می شود هکرها وانمود کنند که کاربر Gmail هستند.

این نقص که برای اولین بار توسط پژوهشگر امنیتی آلیسون حسین (Allison Husain) شناسایی شد؛ شامل ترکیبی از اکسپلویت‌های G-Suite بود که به مهاجمین اجازه می‌داد داده‌های مسیریابی ایمیل را به عنوان کاربر Gmail نقاب زده و دستکاری کنند. حسین ابراز کرد: اگر این مشکل وصله نشود؛ کلاهبرداران را برای کمپین‌های سیادی یا فیشینگ مجهز می‌سازد. بیشتر آن که آسیب‌پذیری مذکور باعث می‌شود تا نامه‌های جعلی برچسب «اسپم» یا «بدخواهانه» نخورند و این یعنی مانعی بزرگ از سر راه مهاجمین برداشته می‌شود.

ابتدا آلیسون حسین ماه آوریل سال جاری این مسئله را به گوگل گزارش کرد. ولی ظاهراً گوگل وصله کردن این آسیب‌پذیری مهم را  ۱۳۷ روز به تأخیر انداخته و برنامه داشت تا این ایراد را ماه سپتامبر برطرف كند. لیکن همه چیز پس از انتشار عمومی یافته‌های آلیسون حسین در وبلاگ شخصیش تغییر کرد.

گوگل یک آسیب‌پذیری بزرگ در خانواده برنامه‌های G-Suite خود دارد که شامل Gmail ، Google Meet و Google Docs و ... است.

با انتشار عمومی این نقص امنیتی، وصله‌های گوگل ۷ ساعت بعد منتشر شدند و گوگل ادعا کرد که ارائه وصله‌هایی قوی‌تر را به جدول زمانی خود اضافه می‌کند. این داستان ، ثابت می‌کند که هکرهای کلاه‌سفید و پژوهشگران امنیت سایبری چقدر برای ساختن اینترنتی امن، با‌ارزش هستند.

برای محافظت از حساب Gmail خود در برابر اشکالاتی مانند این چه کاری باید انجام داد؟

در حالی که اشکال کشف شده توسط آلیسون حسین باعث می‌شود هکرها به طور بالقوه مانند سایر کاربران Gmail ظاهر شوند؛ تهدید مهم آن است که می‌توان از این پیام‌های جعلی برای ارسال بدافزار یا لینک‌های سیادی استفاده کرد که باعث به خطر افتادن حساب‌های دیگر می شود.

خوشبختانه ، گوگل این اشکال را برطرف کرد و پایان این داستان خوش بود. امّا برای پیشگیری از موارد مشابه چگونه باید حساب خود را مدیریت و کنترل کنید؟

۱. از احراز اصالت دو عاملی یا  ۲FAبرای جلوگیری از ورود غیرمجاز استفاده کنید.  

احراز اصالت دو عاملی یک لایه امنیتی دیگر به حساب Google شما اضافه می کند. بدین منظور مراحل زیر را دنبال کنید:

۱. برای باز کردن تنظیمات حساب Google خود، اینجا کلیک کنید.

۲. از پانل سمت چپ ، بر روی Security کلیک کنید.

۳. از قسمت Signing in to Google  ، بر روی ۲-StepVerification  کلیک کنید.

۴. روی Get started کلیک کنید.

۵. مراحلی که در صفحه ظاهر می شوند را دنبال کنید.

بدین ترتیب، هر زمان که شخصی سعی در ورود به حساب شما داشته باشد؛ برای شما کدی ارسال می شود.

۲. در صورت از دست دادن حساب خود ، گزینه های بازیابی را تنظیم کنید.

اگر شما حساب خود را از دست داده‌اید؛ گزینه‌های بازیابی، راه برگشت به حساب شما خواهند بود. گوگل راه‌های مختلفی برای تأمین امنیت حساب کاربر از طریق آدرس‌های ایمیل جایگزین و شماره تلفن‌ به آن می‌دهد.

۱.برای باز کردن تنظیمات حساب Google خود، اینجا کلیک کنید.

۲.از پانل سمت چپ ، روی Personal info کلیک کنید.

۳.از قسمت Contact info ، روی Add a recovery phone کلیک کنید.

۴.از اینجا ، شما می توانید:

  • تلفن بازیابی جدید اضافه کنید.
  • تلفن بازیابی موجود خود را تغییر دهید: در کنار شماره تلفن خود ، Edit را انتخاب کنید.
  • حذف تلفن بازیابی موجود: در کنار شماره تلفن خود ، Delete را انتخاب کنید.

۵. مراحل انجام شده روی صفحه را دنبال کنید.

۶. به صفحه تنظیمات حساب Google برگردید.

۷. از پانل سمت چپ ، روی Personal info کلیک کنید.

۸. از قسمت Contact info ، بر روی Email کلیک کنید.

۹. از اینجا ، شما می توانید:

  • یک ایمیل بازیابی جدید اضافه کنید.
  • تغییر یا حذف ایمیل بازیابی موجود: در کنار ایمیل موجود ، Edit را انتخاب کنید.

۳. در برابر حملات سیادی هوشیار باشید.

ویژگی‌های امنیتی فوق‌الذکر، از حساب شما محافظت می‌کند؛ ولی نهایتاً، این وظیفه شماست تا در مورد علائم حملات سیادی هوشیار بوده و از گرفتار شدن جلوگیری کنید.

۱. برای اطمینان از اینکه دامنه مورد نظر فرستنده مطابقت دارد؛ همیشه به قسمت فرستنده ایمیل توجّه کنید. همچنین ، توجّه داشته باشید که اگر ایمیلی ادعا می‌کند که از یک شرکت یا نهاد معتبر ارسال شده‌ است؛ شما را به شکل «… عزیز» (Dear …) یا «آقا/خانم …» مخاطب قرار دهد.

۲. در هر صورت از کلیک بر روی هر لینکی در متن ایمیل خودداری کنید.  در صورت اطمینان به فرستنده، آن را کپی و در نوار جستجو پِیست کنید.

۳. در صورتی که آشنایی با فرستنده ندارید؛ هرگز ایمیل را باز نکنید.

۴. هرگز پیوست‌های ایمیل را دانلود نکنید. مگر آن که کاملاً از ماهیت، چرایی ارسال و این که چه کسی آن‌ها را برای شما ارسال کرده است، اطمینان داشته باشید.

۵. اگر ایمیلی از شما هرگونه اطلاعات شخصی (مانند اطلاعات ورود به سیستم) را خواست؛ بسادگی آن را نادیده بگیرید.