O Google lança correção de bug que permite que invasores enviem e-mails falsos
O Google lançou a correção do bug no Gmail e no G Suite, permitindo que invasores enviem e-mails falsos como qualquer outro usuário do Google ou cliente empresarial.
O bug, descoberto pelo pesquisador de segurança Allison Husain, é causado pela falta de verificação ao configurar rotas de e-mail. “A política estrita DMARC / SPF do Gmail e de qualquer cliente do G Suite pode ser subvertida com o uso das regras de roteamento de e-mail do G Suite para retransmitir e conceder autenticidade a mensagens fraudulentas”, disse ele.
Os invasores abusariam do problema do destinatário nas regras de validação de e-mail do Google e usariam um gateway de e-mail de entrada para reenviar a mensagem do back-end do Google para ganhar a confiança dos servidores de e-mail downstream.
“Isso é vantajoso para um invasor se a vítima que ele pretende representar também usa o Gmail ou o G Suite, pois isso significa que a mensagem enviada pelo back-end do Google passará pelo SPF e DMARC, pois o domínio, por natureza de usar o G Suite, será configurado para permitir que o back-end do Google envie e-mails de seu domínio “, explicou Husain.
“Além disso, como a mensagem é proveniente do back-end do Google, também é provável que a mensagem tenha uma pontuação de spam menor e, portanto, deva ser filtrada com menos frequência.”
Husain relatou o problema ao Google em 3 de abril de 2020. O Google aceitou o problema em 16 de abril (como diz o cronograma de divulgação publicado pelo pesquisador) classificou-o como um bug de prioridade 2, gravidade 2, posteriormente marcando-o como duplicado.
O pesquisador notificou inicialmente a empresa que o bug seria divulgado no dia 17 de agosto. Naquela época, o Google disse que uma correção está sendo desenvolvida com previsão de lançamento para 17 de setembro.
No entanto, quando a empresa não conseguiu consertar o problema relatado por Husain por 137 dias, o pesquisador divulgou os resultados em 19 de agosto (dois dias após a divulgação do cronograma). Em até 7 horas após esta divulgação, o Google implantou “mitigações com base na modificação do caminho de retorno e mecanismos anti-abuso”.
