Durante as sete horas entre a publicação dos detalhes da falha no serviço de correio eletrónico Gmail e a Google corrigir o bug, um atacante pode ter enviado emails falsos fazendo-se passar por clientes do Gmail ou da G Suite. A vulnerabilidade foi descoberta e reportada por Allison Husain em abril deste ano, mas 137 dias depois ainda persistia, com a Google a ter planeado lançar a correção apenas em setembro. A investigadora mudou os planos da equipa técnica da gigante tecnológica ao tornar públicos os detalhes da falha, incluindo o código de exploração do bug.
No prazo das sete horas entre a revelação e a publicação da correção, os atacantes podiam ter enviado emails que enganavam os sistemas SPF (Sender Policy Framework) e DMARC (Domain-based Message Authentication, Reporting and Conformance), dois dos padrões de email mais seguros. Apesar de a situação ser prejudicial para os consumidores, não é inédita na indústria da tecnologia, onde muitas vezes as empresas só reagem depois de os investigadores tornarem as vulnerabilidades públicas.
A especialista em cibersegurança revelou numa publicação do seu blogue que esta vulnerabilidade acontece na combinação de dois fatores: o primeiro é um bug que permite ao atacante enviar emails ‘forjados’ para uma gateway no bastidor do Gmail e da G Suite. Com um servidor malicioso comprado ou alugado neste bastidor, o atacante pode permitir este email seguir e explorar o segundo bug, que lhe permite definir regras de roteamento que reencaminham o email mascarando-se com a identidade de qualquer cliente legítimo usando a funcionalidade “Change envelope recipient”, explica a ZDNet.
A investigadora reforça que, como o email comprometedor parece ter origem no bastidor do Gmail ou da G Suite, tem maiores probabilidades de passar nos filtros de spam. Esta vulnerabilidade pode ter sido explorada por spammers ou distribuidores de malware em grande escala, antes de a Google ter emitido as medidas de mitigação nos seus servidores.
