SquareX 的安全研究人员发现了苹果、谷歌、微软和雅虎等主要电子邮件提供商的附件扫描过程中存在严重缺陷。 研究人员表示,这些问题在检测恶意意图方面造成了重大缺陷,可能使全球数百万用户面临风险。
研究人员发现的电子邮件安全主要漏洞
网络浏览器安全初创公司 SquareX 的安全研究人员分享了一项独家研究 他们最新的研究结果 我和我一起研究了领先的电子邮件服务对电子邮件中恶意附件的扫描。 通过收集分为四大组的 100 个恶意文档样本,研究人员能够确认 Google Gmail、Microsoft Outlook、Apple iCloud 和 Yahoo! 等电子邮件服务电子邮件和 AOL 都缺乏对用户安全保护的一方面:扫描电子邮件附件,至少可以说,这已被证明是不够的。
这四类恶意文档包括:
- 原始恶意文档来自 Malware Bazaar。
- Malware Bazaar 稍作修改的恶意软件文档,例如元数据和文件格式的更改。
- 恶意文档是使用已经存在多年的攻击工具进行修改的。
- 支持宏并在用户计算机上执行程序的基本文档。
研究人员向我解释了如何将这些示例文档附加到通过第三方电子邮件提供商 Proton Mail 发送到 Apple iCloud Mail、Google Gmail、Microsoft Outlook 和 Yahoo! 帐户的电子邮件中。 Mail 和 AOL(也是 Yahoo! 的一部分) 团体。 如果这些电子邮件成功发送给用户,他或她很可能容易受到附件中发现的任何威胁。
SquareX 报告的严重电子邮件问题
研究人员展示了 Apple iCloud、雅虎邮件和 AOL 如何未能阻止代表 PowerPoint 演示文稿的恶意文件样本。 尽管事实上在测试过程中总共有 40 个病毒扫描程序检测到了它。
嘿嘿! Mail 和 AOL 未能阻止另一个声称是 Microsoft Excel 文档的恶意文件,但这一次该文件未能欺骗 35 个病毒扫描程序。 在这种情况下,对文件元数据进行相对简单的调整也允许 Apple iCloud Mail、Google Gmail 和 Microsoft Outlook 也允许文件通过。
就在您认为事情不会变得更糟时,研究人员发现所有电子邮件提供商都提供了一个 Microsoft Excel 文档,其中包含包含已知恶意代码的宏。 公平地说,Gmail 至少向用户提供了警告,而其他任何一个都没有这样做。 然而,通过将代码片段重命名为 PDF 文件,此警告消失了。
下表显示搜索结果,指示电子邮件是否已送达或未送达。 如果电子邮件未送达,则意味着电子邮件服务器在处理电子邮件时检测到恶意软件。 另一方面,如果发送了电子邮件,则意味着用户能够与恶意文档进行交互,从而使他们容易受到攻击。
SquareX 创始人兼首席执行官 Vivek Ramachandran 告诉我,虽然数十亿互联网用户盲目信任公共网络邮件提供商扫描文档附件是否存在安全风险,“我们建议网络邮件提供商透明地发布有关其扫描技术局限性的详细信息,并坦率地警告用户说起来,这些事。” Ramachandran 表示,这样做将确保“用户了解风险以及使用额外安全产品的必要性”。
安全专家谈论电子邮件附件的危险
我采访了 ESET 全球网络安全顾问杰克·摩尔 (Jake Moore),他告诉我,他认为知名科技巨头允许恶意文件通过安全检查令人不安,尤其是当数百万用户依赖这些检查来保持保护时。 “声称是 PDF 看起来像是 20 世纪 90 年代网络犯罪分子使用的攻击媒介,因此在现代威胁中发现这种情况令人震惊,”摩尔说。“更改元数据很容易,但不应该这样做通过病毒扫描。”这很容易被威胁行为者滥用。
威胁情报专家 Cyjax 的首席信息安全官伊恩·桑顿·特朗普 (Ian Thornton Trump) 表示,他相信,当消费者使用此类免费网络邮件服务时,有机会做得更好。 然而,他警告说,“这就像询问星巴克的免费 Wi-Fi 为什么他们不阻止更多或全部网络攻击一样。” 桑顿-特朗普告诉我,很难用同一句话来平衡自由和安全,并补充说,任何“认为安全无需成本的人都会对任何消费者构成风险”。 从商业现实的角度来看,桑顿-特朗普认为,所谓的“高级”电子邮件安全“可能会带来严重的误报问题,可能涉及使用技术支持资源来协助或修复——这给数以百万计的用户带来了损失。”免费平台。”在商业上可行。而且这是在您考虑任何更高级的恶意软件检测功能所需的处理能力之前的情况。
卖家通过电子邮件回复
我询问 SquareX 是否已联系电子邮件供应商,告知他们研究过程中的发现。 SquareX 发言人告诉我:“几乎所有电子邮件提供商面临的主要挑战之一是没有简单的方法可以获得他们的技术支持。” “我们无法通过他们的在线渠道获得适当的回应,这些渠道主要是反馈表,但基本上没有得到答复。”
SquareX 向我保证,它将在我今天发布报告前 24 小时向所有卖家再次发送支持请求。 SquareX 发言人表示:“为了确保人们能够理解和验证我们的发现,该报告包含了我们使用的文件的所有详细信息,以及将这些文件发送给不同邮件提供商的视频记录,显示了他们如何处理这些恶意文件。”
我联系了微软,但微软不想提供任何声明,而是引导我前往 A 支持文件 关于Microsoft 365中的电子邮件保护,用户可以参考。 据我了解,Microsoft 没有向其响应团队提供 SquareX 报告的记录。
我还联系了苹果、谷歌和雅虎! 但在发布之前我们没有收到任何人的回复。
免费的 SquareX 浏览器扩展已更新,有助于减轻电子邮件附件威胁
考虑到研究期间发现的漏洞是对数百万电子邮件用户构成威胁的网络安全漏洞,SquareX 更新了其浏览器扩展,以帮助降低恶意附件的风险。 此更新添加了“高级浏览器内恶意文档扫描功能”,该功能目前处于测试阶段,可以添加到 Chrome 和 Edge 中。 这里还提供网络应用程序版本 这里。
SquareX 发言人表示,“SquareX 的浏览器原生安全产品可将文件下载触发等事件关联起来”,并且可以分析内存中的恶意办公文档。 “这也使其隐私安全,因为数据永远不会离开用户的记忆,”发言人总结道。 设备。”
More Stories
《东京恶习》制片人详述日本走向全球制作中心之路
康拉德·科尔曼仅使用可再生能源再次改变了世界
新款 MacBook Pro 为苹果一周的重大新闻画上了句号