Google corrige bug do Gmail que permitia envio de e-mails falsos

O Google resolveu nesta semana uma falha de segurança no Gmail que tornava seus usuários sucessíveis a e-mails com cabeçalhos manipulados. O bug nas configurações da plataforma de e-mail permitia que hackers enviassem mensagens em nomes de outros domínios, ultrapassando proteções da plataforma contra esse tipo de prática, chamada de spoofing, e outras barreiras que impedem a comunicação a partir de domínios suspeitos.

• Banco de dados expôs 235 milhões de usuários do TikTok, YouTube e Instagram
• 93% das empresas podem ser invadidas por hackers em apenas 30 minutos
• Descoberta vulnerabilidade em chips Wi-Fi que permite a interceptação de dados

A exploração do bug envolve duas fases. Na primeira, o hacker configura um gateway de entrada de e-mail a partir de um IP próprio, para que o sistema valide o endereço em uma lista branca mesmo que ele seja enviado a partir de um local suspeito. Na sequência, a mensagem é encaminhada a uma segunda caixa, também sob o controle dos criminosos, e com isso, um hacker seria capaz até mesmo de ultrapassar dois testes voltados, justamente, para evitar que e-mails com cabeçalhos manipulados sejam enviados pelo serviço.

Proteções como o Sender Policy Framework (SPF) e o Domain-based Message Authentication, Reporting and Conformance (DMARC) são voltados, justamente, para validar headers, IPs, caixas responsáveis pelo envio e o conteúdo das mensagens. Como o e-mail foi enviado a partir de servidores do próprio Gmail, indicando que ele já foi validado anteriormente (ou não, neste caso, devido à brecha), ele passa por tais obstáculos sem problemas e segue ao seu destino final, indicado pelos criminosos.

É nessa etapa que acontece o spoofing, com o atacante utilizando configurações da própria plataforma para manipular cabeçalhos, assuntos e o próprio conteúdo das mensagens, que são enviadas às vítimas para a realização de explorações que podem envolver o roubo de dados ou o envio de links suspeitos, todos com aparência de legitimidade para aumentar a chance de fazer vítimas. Por enquanto, felizmente, não existem relatos de exploração maliciosa do bug, que poderia atingir tanto usuários finais, pelo próprio Gmail, quando corporativos, clientes da plataforma GSuite.

Ainda bem, afinal, segundo a pesquisadora Allison Husain, responsável pela descoberta da falha, foram nada menos do que 137 dias desde seu relato para que o problema fosse resolvido, e sabe-se lá quanto tempo de exploração aberta e plenamente possível. A especialista disse ter se deparado com o problema em 1º de abril, enviando um relatório ao Google dois dias depois.

A empresa levou a sério o relato, o marcando na segunda categoria mais alta de severidade, e também chegou a receber outro relatório de segurança relacionado à mesma falha, também em abril. Entretanto, não houve qualquer tipo de atualização até o dia 19 de agosto, quando uma atualização a nível de servidor para o Gmail solucionou o problema, no mesmo dia em que a especialista divulgou publicamente o bug, seguindo parâmetros de publicação responsável de falhas de segurança.

• Gmail caiu? Serviços Google têm instabilidade durante a madrugada [atualizado]

O Google não se pronunciou oficialmente sobre o assunto nem relacionou a correção às instabilidades sofridas não apenas pelo Gmail, mas seus outros serviços, nesta quinta. O serviço de correio eletrônico enfrentou atrasos no envio e recebimento de mensagens, além de problemas na abertura da caixa de entrada e também de documentos do Drive, entre outras dificuldades. O Brasil pareceu pouco afetado, mas ainda assim, os problemas também foram sentidos por aqui.

Fonte: Allison Husain, The Next Web