זרוע המחקר של חברת הסייבר הישראלית Pentera חשפה שני פגמים לוגיים באינטגרציה בין שירותי Gmail ו-Google Drive, אשר עשויים לאפשר הפצה של קבצים זדוניים תוך ניצול מנגנוני האמון המובנים בפלטפורמות של גוגל עצמה.

לפי ממצאי המחקר, קבצים שזוהו על-ידי Gmail כזדוניים ונחסמו משליחה ישירה בדואר אלקטרוני, יכולים במקרים מסוימים להיות מועלים ל-Google Drive ומשם להישלח באמצעות מנגנון השיתוף המובנה של השירות. הנמען מקבל את הקובץ באמצעות Gmail כשהוא נושא סימון המעיד כי נסרק על-ידי המערכת, אף על פי שהקובץ עצמו כבר זוהה בעבר כמסוכן.

במקרה נוסף הדגימו החוקרים כיצד ניתן להעביר קבצי הרצה (Executable) דרך Google Drive אל Gmail באופן שעוקף חלק ממגבלות האבטחה המוטלות על קבצים מסוג זה. בעוד ש-Gmail חוסם בדרך כלל קבצים אלה ו-Google Drive מציג למשתמשים אזהרה לפני הורדתם, במסלול ההעברה שנבחן על-ידי החוקרים האזהרה אינה מוצגת והמשתמש יכול להוריד את הקובץ ללא התרעה נוספת.

לדברי בן אילקשי, חוקר אבטחה ב-Pentera Labs, הבעיה אינה נובעת מכשל בזיהוי הנוזקות עצמן אלא ממערכת יחסי האמון שבין השירותים. "קובץ ש-Gmail מסמנת כזדוני ומסרבת לשלוח עדיין יכול להגיע לתיבת הדואר דרך Google Drive כשהוא מוצג כאילו נסרק ואושר", אמר.

בפנטרה מעריכים כי מקור הבעיה הוא ההנחה של Gmail שתוכן המגיע מתוך האקוסיסטם של Google Drive כבר עבר בדיקות ואימות. מצב זה עלול להפוך את התשתיות הלגיטימיות של גוגל לכלי בידי תוקפים במסגרת קמפייני פישינג והפצת נוזקות.

החברה ממליצה לארגונים להתייחס לקישורי Google Drive באותה רמת חשדנות כמו לקבצים מצורפים רגילים, ולהמשיך לבצע סריקות ובדיקות Sandbox גם לקבצים המגיעים משירותי גוגל. לדבריה, גוגל אישרה את נכונות הממצאים, אך נכון לעתה טרם פורסם מועד לתיקון הפערים.