Meno di un mese fa, Google ha annunciato un nuovo sistema di verifica per Gmail. In sostanza, usando alcuni servizi di terze parti, le aziende possono identificare e verificare le loro caselle di posta elettronica, con il risultato che le email inviate dai loro indirizzi hanno una spunta blu, proprio come quelle di Twitter o Instagram. La ratio di questo nuovo servizio è chiara: aiutare gli utenti a distinguere le aziende dai truffatori che si spacciano per loro. Un sistema di protezione in più contro il phishing.
Tutto bellissimo, peccato che secondo un ricercatore di sicurezza informatica, alcuni hacker avrebbero già individuato un modo per violare il sistema e falsificare le spunte blu. In questo modo, il sistema di verifica di Google farebbe più danni che altro, perché dà ai truffatori una legittimazione che prima non avevano.
Chris Plummer, un ricercatore di sicurezza informatica che lavora per Dartmouth Health, ha condiviso su Twitter uno screenshot che mostra una email con spunta blu proveniente da un finto account di UPS, il noto corriere. Plummer non è entrato nello specifico di come funzioni l’exploit.
Google assegna le spunte blu sfruttando alcuni servizi come Brand Indicators for Message Identification (BIMI), DMARC (Domain-based Message Authentication, Reporting, and Conformance) e VMC (Verified Mark Certificate), che sono certificazioni rilasciate da aziende come Entrust e DigiCertto.
Google ha prima ridimensionato e poi ammesso l’esistenza di un problema, aggiungendo che si tratterebbe di una vulnerabilità di uno dei servizi third party usati per il nuovo sistema. Finché questo problema non verrà risolto, Google chiederà alle aziende di utilizzare lo standard di autenticazione DomainKeys Identified Mail (DKIM), che dovrebbe offrire una sicurezza più robusta contro i tentativi di furto d’identità e frode.