Уязвимость в службах Google открыла путь для рассылки писем от лица компании
Главная » Новости
Ландшафт киберугроз 2025: реальные атаки, тренды и практические выводыКиберугрозы становятся сложнее, а человекоуправляемые атаки остаются одним из ключевых рисков для бизнеса. В новом отчете — актуальные тренды и наиболее критичные сценарии. Ключевые инсайты обсудим на вебинаре: какие угрозы сегодня определяют ландшафт ИБ и как повысить устойчивость бизнеса. Участвуйте онлайн или смотрите в записи — она будет доступна всем зарегистрированным.→ Зарегистрироваться на вебинар
Реклама, 18+. АО «Лаборатория Касперского», ИНН 7713140469

Уязвимость в службах Google открыла путь для рассылки писем от лица компании

Николай Головко 22 Ноября 2010 - 13:30
...

Хакер из Армении обнаружил в Google Apps серьезную ошибку безопасности, эксплуатация которой позволяла извлекать электронные адреса пользователей и отсылать им чрезвычайно правдоподобные уведомления от имени административной группы.



Для демонстрации специалист создал особую страницу в сервисе Blogspot. Любому авторизованному владельцу учетной записи Google достаточно было лишь посетить эту страницу - на его адрес в Gmail незамедлительно поступало письмо, практически неотличимое по своим техническим параметрам от легитимных сообщений компании.


Ведущий технологический консультант Sophos Грэм Клалей, комментируя инцидент в корпоративном блоге, отметил, что поддельные письма, отправленные посредством эксплуатации этой уязвимости, отличаются от обычных фишинговых отправлений: в них не просто указан аутентичный адрес отправителя (noreply@google.com), но и имеются вполне легитимные заголовки. Даже если пользователь усомнится и решит проверить параметры сообщения, то он обнаружит, что письмо отправлено с сервера maestro.bounces.google.com, и у него имеется подпись google.com - иными словами, уведомление будет выглядеть весьма убедительно.


Технические особенности выявленного изъяна и прочую подробную информацию хакер публиковать не стал. В письме редакции Интернет-ресурса TechCrunch он заявил, что не хочет предавать такие сведения огласке. По его словам, он пытался сообщить о проблеме непосредственно в Google, но компания никак не отреагировала на его обращение; это несколько странно, поскольку поисковый гигант некоторое время назад объявил о готовности выплачивать вознаграждения за поиск уязвимостей в своих онлайн-сервисах.


Впрочем, теперь Google подтвердила наличие ошибки безопасности в интерфейсе Google Apps Script API и заявила, что в настоящее время она уже устранена.


"Уязвимость в Google Apps Script API, позволявшая автоматически отсылать письма авторизованным пользователям Gmail без их на то разрешения, в случае, если они посещали определенным образом сформированную веб-страницу, была оперативно исправлена", - говорится в официальном заявлении компании. - "Сайт, демонстрировавший данную уязвимость, был нами немедленно удален, а спустя непродолжительное время мы отключили и сам опасный функционал. В случае обнаружения новых потенциальных проблем безопасности просим сообщать об этом на почтовый адрес security@google.com".


Softpedia

Следующая главная новость »
AM LiveКоммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

Little Snitch пришёл на Linux на фоне нового интереса к контролю трафика
Екатерина Быстрова 09 Апреля 2026 - 18:47
Linux Общее Сетевая безопасность
Little Snitch пришёл на Linux на фоне нового интереса к контролю трафика

Знаменитый сетевой инструмент Little Snitch, который много лет ассоциировался только с macOS, теперь добрался и до Linux. Разработчик объясняет это шаг тем, что в мире, где всё больше спорят о доверии к софту, обновлениям и контролю над устройствами, идея открытой и менее централизованной платформы начинает выглядеть для многих заметно привлекательнее.

На этом фоне он решил попробовать пожить с Linux как с основной системой и быстро упёрся в знакомую проблему: без Little Snitch там не хватает удобной, наглядной прозрачности по сетевой активности приложений.

По сути, Little Snitch для Linux делает то, за что его любят на macOS: показывает, какие процессы выходят в Сеть, и позволяет это оперативно ограничивать. Но технически новая версия устроена уже по-другому.

 

Инструмент использует eBPF для работы на уровне ядра, написан на Rust, а интерфейс выполнен в виде веб-приложения. Такой подход позволяет, например, наблюдать за удалённым Linux-сервером с другого устройства, не городя отдельную тяжёлую схему управления.

При этом разработчик отдельно подчёркивает, что это не «абсолютный щит» от всего на свете, а скорее инструмент видимости и контроля.

Часть проекта уже открыта: разработчик вынес в open source, в частности, eBPF-компонент и интерфейс. А вот бэкенд, который отвечает за правила и анализ соединений, пока остаётся закрытым. Это, судя по описанию, сознательное решение: именно там сосредоточена значительная часть накопленной за годы логики Little Snitch.

AM LiveКоммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!
Новые сюрпризы апдейта Windows 11: вылеты приложений, зависание компьютера
Новость
Новые сюрпризы апдейта Windows 11: вылеты приложений, зависа...
ФСТЭК России сертифицировала решения «Базиса» по контейнеризации
Новость
ФСТЭК России сертифицировала решения «Базиса» по контейнериз...
Разработчик запустил Doom на беспроводных наушниках без экрана
Новость
Разработчик запустил Doom на беспроводных наушниках без экра...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.