Exclusive: Critical Security Flaws In Email Top 4—Apple, Gmail, Outlook & Yahoo - Forbes

Exclusive: Critical Security Flaws In Email Top 4—Apple, Gmail, Outlook & Yahoo – Forbes

SquareX’ın güvenlik araştırmacıları, Apple, Google, Microsoft ve Yahoo dahil olmak üzere büyük e-posta hizmeti sağlayıcılarının ek tarama sürecinde kritik eksiklikler keşfettiklerini söylüyor. Bu sorunlar, kötü niyeti tespitte önemli eksikliklere neden olmaktadır ve dünya genelinde milyonlarca kullanıcıyı potansiyel olarak riske sokabilir.

Web tarayıcı güvenliği start-up olan SquareX’in güvenlik araştırmacıları, önde gelen e-posta hizmetlerinin kötü niyetli ekleri tarama sürecini inceleyen son araştırmalarının sonuçlarını benimle paylaştı. 100 kötü niyetli belge örneğini dört geniş gruba sınıflandırarak, araştırmacılar Gmail, Outlook, iCloud Mail, Yahoo! Mail ve AOL gibi e-posta hizmetlerinin güvenlik korumasının bir yönünde eksiklikler olduğunu doğruladılar: e-posta eklerinin taranması, en hafif tabirle yetersiz bulundu.

Kötü niyetli belge örnekleri, bir üçüncü taraf e-posta sağlayıcısı olan Proton Mail üzerinden Apple iCloud Mail, Google Gmail, Microsoft Outlook, Yahoo! Mail ve Yahoo! grubunun bir parçası olan AOL hesaplarına gönderilen e-postalara eklenmiştir. Bu e-postalar kullanıcıya başarılı bir şekilde iletildiyse, kullanıcılar ekteki tehdide maruz kalabilirler.

Araştırmacılar, Apple iCloud, Yahoo Mail ve AOL’un PowerPoint sunumu gibi görünen bir kötü niyetli dosyayı engelleyemediklerini gösterdi. Bu, toplamda 40 virüs tarayıcısı tarafından tespit edilmesine rağmen oldu. Yahoo! Mail ve AOL, Microsoft Excel belgesi gibi görünen başka bir kötü niyetli dosyayı engelleyemedi. Bu sefer 35 virüs tarayıcısını kandıramadı. Bu durumda, dosya metaverilerinin basit bir şekilde değiştirilmesi, Apple iCloud Mail, Google Gmail ve Microsoft Outlook’u da dosyayı geçirmeye zorladı.

Bu araştırmanın sonuçlarını gösteren tablo, e-postaların teslim edilip edilmediğini göstermektedir. Eğer bir e-posta teslim edilmediyse, bu e-postayı işlerken e-posta sunucusunun kötü amaçlı yazılımı tespit ettiği anlamına gelir. Öte yandan, eğer bir e-posta teslim edildiyse, bu kullanıcının tehdit altında kalabileceği kötücül belge ile etkileşimde bulunduğu anlamına gelir.

Vivek Ramachandran, SquareX’in kurucusu ve CEO’su, internet kullanıcılarının büyük bir kısmının belge eklerini güvenlik risklerine karşı tarayan genel webmail sağlayıcılarına körü körüne güvendiğini belirtirken, “webmail sağlayıcılarının tarama teknolojilerinin sınırlamalarına ilişkin ayrıntıları şeffaf bir şekilde yayınlamalarını ve bu sakıncalar konusunda kullanıcıları açıkça uyarılmalarını öneriyoruz.” Bu şekilde, Ramachandran, “kullanıcıların riskleri anladıklarından ve ekstra güvenlik ürünlerini kullanma ihtiyacını anladıklarından emin oluruz.”

Güvenlik uzmanları konu hakkında görüşlerini belirtirken, bu tür büyük teknoloji şirketlerinin kötü niyetli dosyaları güvenlik testlerinden geçirmesine izin vermesinin endişe verici olduğunu düşündüğünü söyleyen Jake Moore’a konuştuk. Ian Thornton-Trump da, tüketicilerin bu gibi ücretsiz webmail hizmetlerini kullanırken daha iyi yapma fırsatı olduğunu, ancak “bu, bedava Wi-Fi’ı olan bir Starbucks’a daha fazla veya tüm siber saldırıları neden engellemediklerini sormak gibidir” uyarısında bulundu.

SquareX, araştırma sırasında bulunan zafiyetlerin milyonlarca e-posta kullanıcısını tehdit eden bir siber güvenlik açığı oluşturduğunu düşündüğü için tarayıcı uzantısını güncelledi. Bu güncelleme, şu anda Beta aşamasında olan ve hem Chrome hem de Edge tarayıcılarına eklenebilen “gelişmiş tarayıcı içi kötü amaçlı dosya tarama özelliği” ekliyor.

Bu sürüm, “kullanıcı tarafından veri asla cihazdan ayrılmadığı için gizlilik güvenlidir,” diyen bir SquareX sözcüsüne göre, “SquareX’in tarayıcı doğumlu güvenlik ürünü, dosya indirme tetikleyicileri gibi olayları kancalar ve hafızada kötü amaçlı ofis belgelerini analiz edebilir.”