O Google corrigiu o bug do Gmail que permite que invasores enviem e-mails falsos, que havia sido descoberto pela pesquisadora de segurança Allison Husain.
O Gmail é um excelente serviço de e-mail, mas infelizmente, ele também é muito visado por causa de sua grande popularidade.
Prova disso é que o Google corrigiu um bug crítico que afetava o Gmail e o G Suite que permitiria que invasores enviassem e-mails maliciosos falsos como qualquer outro usuário do Google ou cliente empresarial.
Google corrigiu bug do Gmail que permite que invasores enviem e-mails falsos
De acordo com a pesquisadora de segurança Allison Husain, que descobriu o problema de segurança causado pela falta de verificação ao configurar rotas de e-mail, “a política estrita DMARC/SPF do Gmail e de qualquer cliente do G Suite pode ser subvertida usando as regras de roteamento de e-mail do G Suite para retransmitir e conceder autenticidade a fraudulentos mensagens”.
Esse problema foi causado pela “verificação ausente ao configurar rotas de e-mail”, conforme detalhado pelo pesquisador de segurança Allison Husain, que descobriu o bug e o relatou ao Google em 3 de abril de 2020.
Para explorar essa falha para enviar e-mails falsos autenticados que poderiam passar pelo SPF e DMARC, os invasores teriam que abusar de um problema de destinatário quebrado nas regras de validação de e-mail do Google e usar um gateway de e-mail de entrada para reenviar a mensagem do back-end do Google para que os servidores de e-mail downstream confiar nele automaticamente.
Husain explicou que:
“Isso é vantajoso para um invasor se a vítima que ele pretende representar também usa o Gmail ou o G Suite, pois isso significa que a mensagem enviada pelo back-end do Google passará por SPF e DMARC, já que seu domínio, por natureza de usar o G Suite, será configurado para permitir que o back-end do Google envie e-mails de seu domínio.”
“Além disso, como a mensagem é proveniente do back-end do Google, também é provável que a mensagem tenha uma pontuação de spam menor e, portanto, deva ser filtrada com menos frequência.”
Conforme mostrado no cronograma de divulgação publicado pela Husain, o Google aceitou o problema em 16 de abril, mas o classificou como um bug de prioridade 2 e gravidade 2, posteriormente marcando-o como uma duplicata.
Quando o pesquisador notificou a empresa de que o bug seria divulgado no dia 17 de agosto, o Google informou que uma correção estava sendo desenvolvida com previsão de lançamento para 17 de setembro.
Embora o Google geralmente dê aos fornecedores um prazo de 90 dias para resolver quaisquer bugs que seus pesquisadores encontrem e relatem antes da divulgação, ele falhou em corrigir o problema relatado por Husain por 137 dias.
No entanto, depois que o pesquisador divulgou as descobertas em 19 de agosto (dois dias após o prazo de divulgação), o Google implantou “mitigações com base na modificação do caminho de retorno e mecanismos anti-abuso” sete horas após a publicação do blog de Husain.
“[N] s sete horas após a publicação desta postagem, o problema foi corrigido’, disse Husain em uma atualização da postagem do blog que divulgava o bug de spoofing de e-mail que afetava o Gmail e o G Suite.
- Como instalar o driver para o controle do Xbox no Ubuntu
- Como instalar o NeoGeo Pocket Emulator no Linux via Snap
- Como instalar o jogo Space Station 14 no Linux via Flatpak
- Como habilitar o repositório Games no openSUSE