2020-8-21
Apesar de ter conhecimento da falha de segurança há alguns meses, a Google só terá corrigido o bug depois de ter sido tornado público e incluir um proof-of-concept
A Google corrigiu esta semana um bug de segurança que afetava os servidores do Gmail e do G Suite. Na prática, o bug poderia permitir enviar spoofed emails que imitavam qualquer cliente dos dois serviços indicados. Allison Husain foi a investigadora que encontrou e reportou o problema à Google em abril. No entanto, a empresa foi adiando os patches de segurança necessários, tendo como plano lançar o fix algures em setembro. Explica a ZDNet que Husain acabou por publicar os detalhes do bug no seu blog, incluindo código exploit proof-of-concept. Cerca de sete horas depois da publicação, a Google informou a investigadora que lançou as mitigações para bloquear ataques que envolvam o bug reportado. O patch final, no entanto, só será introduzido em setembro. Como funcionava o bug do Gmail ?Quanto ao bug em si, o problema é na verdade uma combinação de dois fatores; o primeiro é um bug que permite que um intruso envie emails falsificados para um gateway de email no back-end do Gmail e do G Suite. O intruso pode usar um servidor de e-mail malicioso no back-end do Gmail e do G Suite, permitir a passagem deste e-mail e usar então o segundo bug. Este segundo bug permite que o atacante configure regras de routing de e-mail que usam um e-mail recebido e o encaminha, enquanto também falsifica a identidade de qualquer utilizador do Gmail ou G Suite ao usar um recurso nativo do Gmail designado "Alterar destinatário do envelope". A vantagem de usar esse recurso para encaminhar e-mails é que o Gmail também valida o falso e-mail encaminhado de acordo com os padrões de segurança SPF (Sender Policy Framework) e DMARC (Domain-based Message Authentication, Reporting & Conformance), ajudando assim os hackers a autenticar a mensagem falsificada que em tudo é similar a uma genuína. |
Imagem publicada por Allison Husain no seu blog "Além disso, como a mensagem é proveniente do back-end do Google, também é provável que a mensagem tenha uma pontuação de spam menor e, portanto, deva ser filtrada com menos frequência", disse Husain, afirmando também que os dois bugs são exclusivos do Google e não de outros serviços de e-mail. As medidas de mitigação do problema foram implementadas diretamente nos servidores da Google, não sendo assim necessária nenhuma acção por parte dos utilizadores. |