Für den Versand von Spoofing-E-Mails öffnet es eine Hintertür. Zudem hebelt die Schwachstelle die Sicherheitsstandards SPF und DMARC aus, die eigentlich Spoofing verhindern sollen. Allerdings schließt Google die Lücke erst, nachdem deren Entdeckerin ihre Erkenntnisse öffentlich macht.
Für Gmail und die G Suite hat Google eine schwerwiegende Sicherheitslücke in seinen E-Mail-Servern geschlossen. Die Schwachstelle erlaubte es, im Namen von Gmail- oder G-Suite-Nutzern gefälschte E-Mails zu verschicken. Nachdem Details zu der Anfälligkeit veröffentlicht wurden, stellte Google ein Update bereit.
Bereits Anfang April wurde die Schwachstelle von der Sicherheitsforscherin Allison Husain entdeckt und Informierte Google über das Problem. Innerhalb von zwei Wochen bestätigte Google ihr zufolge, ohne sich jedoch zu einem möglichen Update zu äußern. Jedoch 120 Tage nachdem sie den Fehler gemeldet hatte, setzte sie Anfang August Google eine Frist bis zum 17. August – dennoch drei Tage vor Ablauf kündigte Google an, das Loch bis zum 17. September zu stopfen.
Am Mittwoch schließlich machte Husain die Details der Schwachstelle in einem Blogeintrag öffentlich – ca. 20 Wochen nach ihrem ursprünglichen Fehlerbericht. Google reagierte daraufhin innerhalb von sieben Stunden mit einem Patch.
Der entwickelte Spoofing-Angriff der Forscherin, macht sich den Umstand zunutze, dass Hacker E-Mail-Server auf dem Gmail- oder G-Suite-Backend ausführen und so konfigurieren können, sodass sie Spoofing-E-Mails der Angreifer weiterleiten. Anschließend lassen sich mithilfe einer Funktion namens „Change Envelope Recipient“ eigene Router-Regeln für eigehende E-Mails erstellen, durch die Identität der Absender eines anderen Gmail- oder G-Suite-Nutzers ersetzt wird.
Offenbar bietet diese Methode den Vorteil, dass die weitergeleiteten E-Mails durch Gmail und G Suite geprüft und als den Sicherheitsstandards SPF und DMARC entsprechend eingestuft werden. Die Wahrscheinlichkeit, dass das E-Mail-System des Empfängers die gefälschten Nachrichten als echt erkennt, wird dadurch erhöht.
Husain fügt hinzu: „Da die Nachricht aus dem Backend von Google stammt, ist es zudem wahrscheinlich, dass die Nachricht eine niedrigere Spam-Punktzahl hat und daher seltener gefiltert werden sollte“. Zudem sei das Problem auf die Google-Dienste beschränkt.
Google ist bekannt, dass es von seinem Project Zero entdeckte Schwachstellen in Produkten Dritter in der Regel ohne Ausnahme nach Ablauf einer Frist von 90 Tagen veröffentlicht. Das Unternehmen gewährt unter Umständen zwar auch einen Aufschub, das von Husain gezeigte Verhalten hätte Mitarbeiter des Project Zero wohl stets veranlasst, ihre Erkenntnisse ebenfalls offenzulegen.
In ihrem Blogeintrag betont Husain, dass sie keinerlei Groll gegen Google hegt und der Kontakt der Kontakt zu Googles Sicherheitsteam sei stets freundlich. Zudem habe Google nie versucht, ihre Offenlegung der Schwachstelle zu verhindern. Googles prompte Reaktion auf ihren Blogbeitrag bezeichnet sie in einem Update sogar als „herausragend“.