Hàng tỉ người dùng Gmail có nguy cơ bị ảnh hưởng bởi lỗi bảo mật này

Gmail hiện là một trong những dịch vụ email phổ biến nhất thế giới. Theo Google, khoảng 3 tỉ người dùng dựa vào Gmail để liên lạc và xử lý công việc, trong khi Google Drive có khoảng 1 tỉ người dùng hoạt động. Do đó, bất kỳ vấn đề bảo mật nào liên quan đến hai dịch vụ này đều có thể tạo tác động lớn, nhất là khi người dùng thường có xu hướng tin tưởng các tệp được gửi qua nền tảng của Google.

Một nghiên cứu của Pentera Labs vừa chỉ ra một lỗ hổng trong cách Gmail và Google Drive xử lý tệp đính kèm. Vấn đề không nằm ở một tệp riêng lẻ, mà ở cách hai dịch vụ này “tin tưởng” lẫn nhau trong quá trình quét và hiển thị cảnh báo bảo mật.

Theo nhà nghiên cứu Ben Ilkashi (Pentera Labs), Gmail có thể chặn một tệp độc hại khi người dùng đính kèm trực tiếp vào email. Trong thử nghiệm của ông, tệp SVG chứa mã độc đã bị Gmail phát hiện là virus và không cho gửi đi. Tuy nhiên, khi cùng tệp này được tải lên Google Drive, Drive lại không đánh dấu đó là tệp nguy hiểm. Sau đó, kẻ tấn công có thể chèn liên kết Drive vào email, và người nhận vẫn thấy tệp hiển thị trong Gmail kèm nhãn “Đã quét bởi Gmail”.

Đừng tin vào lời đảm bảo "Đã quét bởi Gmail". Ảnh: Pentera

Đây là một chi tiết rất dễ gây hiểu lầm. Với nhiều người, dòng chữ “Đã quét bởi Gmail” thường được hiểu là tệp đã được Google kiểm tra đầy đủ và có thể mở an toàn. Nhưng theo Pentera Labs, trong trường hợp này, Gmail không quét lại tệp theo cách giống như khi tệp được đính kèm trực tiếp. Nói cách khác, kẻ xấu có thể tận dụng uy tín của Gmail và Google Drive để khiến email độc hại trông đáng tin hơn.

Pentera Labs cho rằng đây là sự không đồng bộ trong cơ chế bảo vệ giữa Gmail và Drive. Gmail chặn tệp khi đính kèm trực tiếp, nhưng Drive lại cho phép lưu trữ và chia sẻ. Khi tệp được đưa trở lại email dưới dạng liên kết Drive, hệ thống hiển thị nhãn quét theo cách có thể khiến người dùng chủ quan.

Nhóm nghiên cứu còn phát hiện thêm một trường hợp khác. Với một số tệp không bị Gmail nhận diện là virus nhưng vẫn bị chặn vì lý do bảo mật, người gửi thường được gợi ý tải tệp lên Drive nếu tin rằng tệp an toàn. Tuy nhiên, khi tệp được gửi qua liên kết Drive trong Gmail, cảnh báo tải xuống có thể không xuất hiện như khi người dùng tải trực tiếp từ Drive. Điều này làm giảm khả năng người nhận nhận ra rủi ro trước khi mở tệp.

Google cho biết việc bảo vệ người dùng là ưu tiên hàng đầu và Gmail, Google Drive vẫn tự động chặn phần lớn tệp độc hại, bao gồm các tệp thực thi nguy hiểm, trước khi chúng đến hộp thư của người dùng. Công ty hiện đang cập nhật giao diện để làm rõ hơn cách hiển thị kiểm tra an toàn khi tệp được chia sẻ qua liên kết Drive.

Theo Google, Gmail vẫn hiển thị cảnh báo nổi bật nếu phát hiện email chứa liên kết trỏ đến tệp đáng ngờ hoặc chưa được quét. Drive cũng có cơ chế quét tự động để phát hiện mã độc, ngăn tải xuống hoặc chia sẻ các tệp bị nhiễm. Tuy nhiên, Pentera Labs cho rằng vấn đề họ phát hiện không chỉ là rủi ro lý thuyết.

Điều người dùng cần lưu ý là không nên tin tuyệt đối vào nhãn “Đã quét bởi Gmail”, đặc biệt với email có liên kết Google Drive từ người lạ, hoặc nội dung có dấu hiệu thúc ép tải tệp.

Để giảm thiểu rủi ro, người dùng nên kiểm tra kỹ người gửi, tên tệp, phần mở rộng và nội dung email trước khi tải xuống. Không nên mở các tệp lạ, nhất là tệp thực thi, tệp nén, tệp yêu cầu bật macro...