Cyberthreat.id – Google akan merilis tambalan (patch) untuk kerentanan email spoofing (email palsu yang dipakai untuk spamming, phising) yang mempengaruhi Gmail dan G Suite.

Sebelum menerima temuan kerentanan itu, Google mengaku telah mengetahuinya sejak April, demikian seperti dikutip dari SecurityWeek, diakses Jumat (21 Agustus 2020).

Kerentanan itu pertama kali ditemukan oleh peneliti keamanan siber, Allison Husain. Ia menuliskan temuannya dalam blog pribadi, termasuk berbagi kode bukti konsep (PoC).

Masalah yang ditemukan yaitu tidak ada verifikasi saat mengonfigurasi rute email sehingga dapat dimanfaatkan peretas untuk mengirim email sebagai pengguna Gmail atau G Suite lain dengan menerobos penjagaan, seperti DMARC dan SPF.

DMARC (domain-based message authentication, reporting & conformance) adalah protokol autentikasi email. Sistem ini dirancang untuk mendeteksi dan mencegah email spoofing.

Sementara, SPF (sender policy framework) adalah metode autentikasi email yang menentukan server email yang diberi otorisasi untuk mengirim email bagi domain pengguna. SPF membantu melindungi domain dari spoofing, dan membantu memastikan bahwa pesan dikirim dengan benar.

Husain mendemonstrasikan temuannya dengan menggunakan domain G Suite pribadinya untuk mengirim email “yang tampaknya berasal dari alamat @google.com“  ke akun email G Suite di domain yang tidak dia kontrol.

"Saya memilih untuk mengirim ke akun G Suite lain untuk menunjukkan bahwa pemfilteran email Google yang kuat dan teknik anti-spam tidak memblokir atau mendeteksi serangan ini," jelas Husain.

“Selain itu, saya memilih untuk meniru google.com karena kebijakan DMARC mereka disetel ke ‘p=reject’ sehingga setiap pelanggaran SPF (terlepas dari kebijakan SPF) akan mengakibatkan pesan dihapus.”

Serangan tersebut memanfaatkan kelemahan terkait dengan aturan perutean email, yang dapat disalahgunakan oleh penyerang untuk "menyampaikan dan memberikan kesan keaslian pesan palsu".

Lubang keamanan dilaporkan ke Google pada 3 April dan perusahaan mengonfirmasinya pada 16 April.

Google kemudian menandai cacat tersebut, tetapi masih tidak meluncurkan tambalan. Pada 1 Agustus, Husain memberi tahu perusahaan bahwa dia akan mempublikasikan temuannya pada 17 Agustus.

Google mengatakan kepada Husain baru akan merilis tambalan pada 17 September, tapi sebetulnya telah memperbaiki tujuh jam setelah pengungkapan temuan ke publik.[]

Temuan detail bisa dibaca di sini.

Redaktur: Andi Nugroho