وفقًا لبليك بارنز، نائب رئيس شركة جوجل للمنتجات في جيميل، “يعتمد 3 مليارات مستخدم على جيميل للتواصل وإنجاز الأمور”، بينما يقدر عدد مستخدمي جوجل درايف النشطين بمليار واحد. يمكنني أن أكشف حصريًا عن وجود خلل معماري في التكامل بين الخدمتين يمثل تهديدًا أمنيًا كبيرًا لـ “تقريبًا كل فرد لديه حساب جيميل.” وقد أكدت تقرير جديد، مع إثبات المفهوم، أن المهاجمين يمكنهم استغلال جيميل وجوجل درايف كوسيلة تسليم برامج ضارة موثوقة من خلال تقديم مرفقات خبيثة تتلقى علامة “تم فحصه بواسطة جيميل” المضللة والخطيرة. إليك كل ما تحتاج لمعرفته، بما في ذلك رد جوجل نفسها.
علامة ‘تم فحصه بواسطة جيميل’ لا تقدم الأمان الذي قد تعتقد أنه يوفره المرفق
تعتبر جيميل، الخدمة المجانية الأكثر شعبية على الكوكب، تتمتع بالعديد من الإيجابيات الأمنية. ولحسن الحظ، تحتاجها بشدة لأنها تحت هجوم مستمر من القراصنة والمحتالين على حد سواء. لحسن الحظ، لدى كل من جيميل وجوجل درايف آليات لمنع استخدامها لتوزيع نوع الملفات الضارة المستخدمة غالبًا في مثل هذه الهجمات. ومع ذلك، كما شارك معي بن إلكاشي، الباحث في الأمن من مختبرات بنتيرا، فإنه من الممكن لمهاجم استغلال هذه الآليات بتأثير مدمر. “ماذا لو أخبرتك أنك تستطيع خداع آلة لجعل مرفقك الضار يبدو آمنًا تمامًا؟” قال إلكاشي. “ماذا لو أخبرتك أنك تستطيع الحصول على جوجل نفسها لتوافق على حمولة التصيد الخاصة بك وتحقيق الغاية المطلقة لهجمات التصيد؟” هذه الغاية هي المصداقية المطلقة وغير القابلة للشك. الثقة على المنشطات، إذا جاز التعبير.
أبرز بحث إلكاشي، الذي نُشر الآن من قبل مختبرات بنتيرا بعد فترة إفصاح مسؤول مدتها 90 يومًا، أن هناك عدم توافق معماري داخل إطار أمان جوجل الموحد يسمح للبرامج الضارة التي “يتم حظرها بشكل صريح بواسطة ماسح المرفقات لجيميل” أن تستضيف على درايف وتسلّم إلى المستلمين جنبًا إلى جنب مع علامة “تم فحصه بواسطة جيميل” كعلامة ثقة. تم الإبلاغ عن ذلك لأول مرة من خلال برنامج باحثي أخطاء جوجل في 14 ديسمبر 2025، وأكدت جوجل أنه كان ت duplicated of an “internally tracked issue.” في 22 يناير، أكدت وحدة الثقة والسلامة في جوجل أنه “لم يكن هناك جدول زمني للإصلاح متاح”، وفقًا لإلكاشي، وأن القرار بشأن توقيت الإفصاح كان متروكًا لمختبرات بنتيرا.
شرح خطأ جوجل الخطير في أمان جيميل ودرايف
من أن تُرسل. ويجري أيضًا في جوجل درايف آلية مسح تحدد الملفات الضارة كـ “علمت للاستخدام المسيء” وتمنع أي شخص آخر غير المؤلف من تحميلها، جنبًا إلى جنب مع تحذير تنبيه ينبه المستخدمين قبل تحميل أنواع الملفات الضارة المحتملة. هذه هي الأخبار الجيدة، وتعلم ما سيأتي بعد ذلك، أليس كذلك؟
لكن الأخبار السيئة هي أن إلكاشي تمكّن من إرسال عينة ضارة من SVG، تم تصنيفها بالفعل من قبل جيميل كـ “تم اكتشاف فيروس” وتم حظرها من الإرسال نتيجة لذلك، من خلال استخدام جوجل درايف كمنصة استضافة. “على عكس اكتشاف جيميل” أوضح إلكاشي، “لم يصنف جوجل درايف هذا الملف كملف ضار.” نعم، لقد قرأت ذلك بشكل صحيح: على الرغم من أنه تم الإشارة إليه بالفعل كفيروس، فإن ميزة مرفقات جيميل الخاصة بها سمحت بتحميله إلى درايف وتهيئته ليكون متاحًا لأي شخص يمتلك رابط المشاركة. هذه هي عدم توافق معماري بين آليات الفحص، وهي شيء يمثل خطرًا على جميع مستخدمي جيميل تقريبًا نتيجة لذلك. يمكن تكوين بريد إلكتروني جديد، بما في ذلك رابط ملف معروف أنه ضار من درايف، لكن جيميل لم يقم بفحصه مرة أخرى بل أرسله كما لو لم يكن هناك أي خطأ. مكتملًا بعلامة مضللة “تم فحصه بواسطة جيميل”.
مختبرات بنتيرا
يبدو أن المشكلة تكمن في أن جيميل يمنح ثقة ضمنية للملفات التي مصدرها جوجل درايف، معتقدًا أن لأن هذه الملفات ضمن النظام البيئي الداخلي فهي مُعدّة مسبقًا، ونتيجة لذلك، يتجاوز جيميل خطوات التحقق القياسية “مما يسمح للحمولة الضارة بأن ترث حالة ‘الآمنة’ لحاويتها التخزينية
،” قال إلكاشي.
جوجل ردت على إفصاح أمان مرفقات جيميل
تواصلت مع جوجل، وقدم متحدث باسمها البيان التالي: “حماية مستخدمي جوجل ورك سبيس هي أولويتنا القصوى. يقوم جيميل وجوجل درايف تلقائيًا بحظر الغالبية العظمى من الملفات الضارة – بما في ذلك المرفقات القابلة للتشغيل الخطرة – قبل أن تصل إلى البريد الوارد أبداً.” ومع ذلك، كما تظهر أبحاث مختبرات بنتيرا، إلى جانب إثبات مفهوم يعمل بالكامل، فإن هذا ببساطة ليس كافيًا عندما يتمكن المهاجمون من استغلال ثقة المستخدمين وتخفي الحمولات الضارة خلف واجهة “تم فحصه بواسطة جيميل” الشرعية.
قالت جوجل إنها تقوم بتحديث واجهة المستخدم بنشاط لتوضيح كيف يتم عرض فحوصات الأمان عند مشاركة الملفات عبر روابط جوجل درايف، مما يوفر للمستخدمين سياق أمني واضح ودقيق في جميع الأوقات. كما ذكرت جوجل أن “الدفاعات المدمجة في جيميل تمنع بنجاح المستخدمين من إرسال أو تلقي أنواع الملفات الخطرة، مثل الملفات القابلة للتشغيل، كمرفقات بريد إلكتروني مباشرة،” مشيرة إلى أن “هذا الحد الأمني الأساسي لم يتغير ولا يزال يعمل بكامل طاقته.” وهو أمر عظيم، باستثناء حقيقة أن المشكلة كما أوضحها إلكاشي ومختبرات بنتيرا لا تزال قابلة للاستغلال. إثبات المفهوم صالح، وقد رأيت ذلك بنفسي. يمكنك حتى مشاهدة فيديو للطريقة، الذي استخدم برنامج فدية مصمم يتضمن تشفيرًا قائمًا على XOR كحمولة. “لأغراض هذه العرض”، قال إلكاشي، “سيتعين على الفدية البحث عن ملف يسمى encrypt-me.txt في نفس الدليل وتشفيره. ومع ذلك، يمكن تعديل ذلك بسهولة لبدء هجوم لا نهائي من نقطة إلى نقطة، باستخدام منتجات جوجل كآلية توصيل موثوقة.”
هذا “ليس حالة طرفية معزولة أو نظرية، بل هو فجوة معمارية قابلة للتكرار”، حذر إلكاشي، مضيفًا أنه إذا أمكن اكتشافها من خلال تحليل الأمان، “يمكن أيضًا تحديدها واستغلالها من قبل خصوم متحمسين.” حتى تعالج جوجل هذا الخلل الأمني، يُنصح جميع مستخدمي جيميل بمعاملة رسائل البريد الإلكتروني التي تحتوي على روابط أو مرفقات جوجل درايف على أنها تشكل خطرًا محتملاً، بغض النظر عن أي علامة “تم فحصه بواسطة جيميل”.
