Уязвимость в службах Google открыла путь для рассылки писем от лица компании

Николай Головко 22 Ноября 2010 - 13:30

...

Хакер из Армении обнаружил в Google Apps серьезную ошибку безопасности, эксплуатация которой позволяла извлекать электронные адреса пользователей и отсылать им чрезвычайно правдоподобные уведомления от имени административной группы.

Для демонстрации специалист создал особую страницу в сервисе Blogspot. Любому авторизованному владельцу учетной записи Google достаточно было лишь посетить эту страницу - на его адрес в Gmail незамедлительно поступало письмо, практически неотличимое по своим техническим параметрам от легитимных сообщений компании.

Ведущий технологический консультант Sophos Грэм Клалей, комментируя инцидент в корпоративном блоге, отметил, что поддельные письма, отправленные посредством эксплуатации этой уязвимости, отличаются от обычных фишинговых отправлений: в них не просто указан аутентичный адрес отправителя (noreply@google.com), но и имеются вполне легитимные заголовки. Даже если пользователь усомнится и решит проверить параметры сообщения, то он обнаружит, что письмо отправлено с сервера maestro.bounces.google.com, и у него имеется подпись google.com - иными словами, уведомление будет выглядеть весьма убедительно.

Технические особенности выявленного изъяна и прочую подробную информацию хакер публиковать не стал. В письме редакции Интернет-ресурса TechCrunch он заявил, что не хочет предавать такие сведения огласке. По его словам, он пытался сообщить о проблеме непосредственно в Google, но компания никак не отреагировала на его обращение; это несколько странно, поскольку поисковый гигант некоторое время назад объявил о готовности выплачивать вознаграждения за поиск уязвимостей в своих онлайн-сервисах.

Впрочем, теперь Google подтвердила наличие ошибки безопасности в интерфейсе Google Apps Script API и заявила, что в настоящее время она уже устранена.

"Уязвимость в Google Apps Script API, позволявшая автоматически отсылать письма авторизованным пользователям Gmail без их на то разрешения, в случае, если они посещали определенным образом сформированную веб-страницу, была оперативно исправлена", - говорится в официальном заявлении компании. - "Сайт, демонстрировавший данную уязвимость, был нами немедленно удален, а спустя непродолжительное время мы отключили и сам опасный функционал. В случае обнаружения новых потенциальных проблем безопасности просим сообщать об этом на почтовый адрес security@google.com".

Softpedia

Следующая главная новость »

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!

Олег Иванов 15 Февраля 2026 - 23:31

Android Домашние пользователи Защита мобильных устройств Защита мобильных устройств Защита данных на мобильных устройствах Google

Quick Share на Android стал безопаснее — режим «Для всех» урезали

Quick Share на Android снова меняется, на этот раз в сторону большей безопасности. Google убирает возможность держать режим «Для всех» включённым бесконечно долго. Теперь он будет активен только 10 минут.

Изменение заметили журналисты 9to5Google. По их данным, это серверное обновление — то есть отдельный апдейт скачивать, скорее всего, не придётся.

Правда, распространяется нововведение постепенно, так что у кого-то оно появится раньше, у кого-то позже.

Режим «Для всех» позволял любому человеку поблизости отправить вам файл через Quick Share. Удобно? Да. Но и рискованно. Открытое устройство потенциально могло получить нежелательные файлы или запросы на подключение. Похожие истории мы уже видели с AirDrop на iPhone, в итоге Apple тоже отказалась от постоянного режима «для всех».

Теперь Android ограничивает «всеобщую» видимость 10 минутами. Нужно что-то быстро перекинуть — включили, отправили, и режим сам отключится. Это компромисс между удобством и конфиденциальностью.

Если же вы регулярно обмениваетесь файлами с одними и теми же людьми, можно выбрать режим приёма только от контактов, он по-прежнему доступен и остаётся самым безопасным вариантом для постоянного использования.

Если обновление ещё не дошло до вашего устройства, остаётся просто подождать. Но в целом альтернатив хватает: пользователи часто советуют LocalSend (он работает с Android, iOS, Windows, Linux и macOS), а также Blip или KDE Connect.

Тем не менее Quick Share остаётся самым простым вариантом для Android, он встроен в систему и не требует установки дополнительных приложений. А с новым ограничением «Для всех» ещё и станет чуть безопаснее.

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!