Google corrigiu o bug do Gmail que permite que invasores enviem e-mails falsos

O Google corrigiu o bug do Gmail que permite que invasores enviem e-mails falsos, que havia sido descoberto pela pesquisadora de segurança Allison Husain.

O Gmail é um excelente serviço de e-mail, mas infelizmente, ele também é muito visado por causa de sua grande popularidade.

Prova disso é que o Google corrigiu um bug crítico que afetava o Gmail e o G Suite que permitiria que invasores enviassem e-mails maliciosos falsos como qualquer outro usuário do Google ou cliente empresarial.

Google corrigiu bug do Gmail que permite que invasores enviem e-mails falsos

Google corrigiu o bug do Gmail que permite que invasores enviem e-mails falsos
Google corrigiu o bug do Gmail que permite que invasores enviem e-mails falsos

De acordo com a pesquisadora de segurança Allison Husain, que descobriu o problema de segurança causado pela falta de verificação ao configurar rotas de e-mail, “a política estrita DMARC/SPF do Gmail e de qualquer cliente do G Suite pode ser subvertida usando as regras de roteamento de e-mail do G Suite para retransmitir e conceder autenticidade a fraudulentos mensagens”.

Esse problema foi causado pela “verificação ausente ao configurar rotas de e-mail”, conforme detalhado pelo pesquisador de segurança Allison Husain, que descobriu o bug e o relatou ao Google em 3 de abril de 2020.

Para explorar essa falha para enviar e-mails falsos autenticados que poderiam passar pelo SPF e DMARC, os invasores teriam que abusar de um problema de destinatário quebrado nas regras de validação de e-mail do Google e usar um gateway de e-mail de entrada para reenviar a mensagem do back-end do Google para que os servidores de e-mail downstream confiar nele automaticamente.

Husain explicou que:

“Isso é vantajoso para um invasor se a vítima que ele pretende representar também usa o Gmail ou o G Suite, pois isso significa que a mensagem enviada pelo back-end do Google passará por SPF e DMARC, já que seu domínio, por natureza de usar o G Suite, será configurado para permitir que o back-end do Google envie e-mails de seu domínio.”

“Além disso, como a mensagem é proveniente do back-end do Google, também é provável que a mensagem tenha uma pontuação de spam menor e, portanto, deva ser filtrada com menos frequência.”

Conforme mostrado no cronograma de divulgação publicado pela Husain, o Google aceitou o problema em 16 de abril, mas o classificou como um bug de prioridade 2 e gravidade 2, posteriormente marcando-o como uma duplicata.

Quando o pesquisador notificou a empresa de que o bug seria divulgado no dia 17 de agosto, o Google informou que uma correção estava sendo desenvolvida com previsão de lançamento para 17 de setembro.

Embora o Google geralmente dê aos fornecedores um prazo de 90 dias para resolver quaisquer bugs que seus pesquisadores encontrem e relatem antes da divulgação, ele falhou em corrigir o problema relatado por Husain por 137 dias.

No entanto, depois que o pesquisador divulgou as descobertas em 19 de agosto (dois dias após o prazo de divulgação), o Google implantou “mitigações com base na modificação do caminho de retorno e mecanismos anti-abuso” sete horas após a publicação do blog de Husain.

“[N] s sete horas após a publicação desta postagem, o problema foi corrigido’, disse Husain em uma atualização da postagem do blog que divulgava o bug de spoofing de e-mail que afetava o Gmail e o G Suite.

O que está sendo falado no blog

Post Views: 250

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.