26/11/2015

26/11/2015

Google fecha os olhos a bug no GMail


Os tempos em que era comum trocar-se o endereço de email de envio para brincar (ou enganar) os destinatários já lá vão, mas há um bug na app do Gmail para Android que facilita a utilização desta técnica e que parece escapar aos filtros de detecção de spam do Google.

O serviço de email que utilizamos sempre permitiu que o remetente pudesse falsificar o endereço de email de onde supostamente teria sido enviado - o que noutros tempos tornava divertido mandar para amigos emails em nome de "billgates@microsoft.com" ou outras coisas do género. Mas o problema não era a sua utilização como brincadeira entre amigos, mas sim o potencial de abuso para o phishing, que tornava mais complicado a detecção de emails fraudulentos.

Rapidamente os serviços de email se adaptaram a estas "brincadeiras", validando se o suposto endereço de envio coincidia realmente com o servidor de onde estava a ser enviado; fazendo com que estes emails fossem directamente enviados para a pasta de spam, sinalizando o fim de uma era. Uma era que afinal parece não estar definitivamente terminada.

Aparentemente há um bug na app do Gmail para Android que permite enviar emails com o email do remetente falsificado. Tudo o que o utilizador tem que fazer é mudar o seu nome para algo como:

john ""security@google.com"

(com o truque a serem as duas aspas colocadas antes do endereço falso)
São aquelas duas aspas que original o bug na app do Gmail para Android, que faz com que o email seja enviado com o endereço de email original escondido, e aparecendo o endereço de email que desejarmos. O mais preocupante é que estes emails não são apanhado pelo Google como sendo spam/phishing e chegarão aos destinatários como tendo sido enviados deste email - o que irá dificultar a sua detecção como emails falsos (os utilizadores mais avançados continuarão a poder ir espreitar os headers do email para comprovar a sua veracidade, mas isso não é algo que a maioria dos utilizadores vá fazer.)
Estranhamente, para uma empresa que normalmente gosta de recompensar quem encontra os bugs, desta vez o Google limitou-se a responder que não considerava este bug uma falha de segurança...

Publicado originalmente no AadM

0 comments:

Enviar um comentário