Lo scorso mese Google ha annunciato l’introduzione delle spunte blu su Gmail, utili per riconoscere “al volo” se il mittente di un messaggio è stato verificato. A quanto pare, però, non si tratta di un sistema particolarmente sicuro, visto e considerato che può essere aggirato con discreta facilità.
Gmail: spunte blu facilmente falsificabili
Chris Plummer, un esperto in sicurezza informatica, ha infatti condiviso un tweet per segnalare un problema con i segni di spunta blu di Gmail, dichiarando che è possibile falsificarli senza eccessivo impegno, ingannando il sistema e, ovviamente, anche e soprattutto gli ignari e fiduciosi utenti.
There is most certainly a bug in Gmail being exploited by scammers to pull this off, so I submitted a bug which @google lazily closed as “won’t fix – intended behavior”. How is a scammer impersonating @UPS in such a convincing way “intended”. pic.twitter.com/soMq7KraHm
— it’s Chris Plummer (@chrisplummer) June 1, 2023
Ciò è possibile perché Gmail adotta sistemi di controllo Brand Indicators for Message Identification (BIMI), insieme a DMARC (Domain-based Message Authentication, Reporting, and Conformance) e un VMC (Verified Mark Certificate) emesso da un’autorità di certificazione, come Entrust o DigiCert, per verificare sia il logo che il dominio a esso associato.
Il ricercatore non ha spiegato in dettaglio come sia possibile aggirare il sistema di protezione, ma ha fornito un esempio di un’email, con informazioni più dettagliate che utilizzava il logo di UPS con un dominio e includeva “ups.com” per falsificare un segno di spunta su un messaggio di posta elettronica palesemente non ufficiale.
Dopo la diffusione della notizia, Google ha fatto sapere che questo problema deriva da una vulnerabilità di terze parti e che per evitare ulteriori casi simili d’ora in avanti verrà richiesto ai mittenti di adoperare lo standard di autenticazione DomainKeys Identified Mail (DKIM) per qualificarsi per l’utilizzo delle spunte blu.