2015/11/17

Bug no Gmail para Android permite falsificar o endereço de envio de email


Os tempos em que era comum trocar-se o endereço de email de envio para brincar (ou enganar) os destinatários já lá vão, mas há um bug na app do Gmail para Android que facilita a utilização desta técnica e que parece escapar aos filtros de detecção de spam do Google.

O serviço de email que utilizamos sempre permitiu que o remetente pudesse falsificar o endereço de email de onde supostamente teria sido enviado - o que noutros tempos tornava divertido mandar para amigos emails em nome de "billgates@microsoft.com" ou outras coisas do género. Mas o problema não era a sua utilização como brincadeira entre amigos, mas sim o potencial de abuso para o phishing, que tornava mais complicado a detecção de emails fraudulentos.

Rapidamente os serviços de email se adaptaram a estas "brincadeiras", validando se o suposto endereço de envio coincidia realmente com o servidor de onde estava a ser enviado; fazendo com que estes emails fossem directamente enviados para a pasta de spam, sinalizando o fim de uma era. Uma era que afinal parece não estar definitivamente terminada.

Aparentemente há um bug na app do Gmail para Android que permite enviar emails com o email do remetente falsificado. Tudo o que o utilizador tem que fazer é mudar o seu nome para algo como:

  • john ""security@google.com"
    (com o truque a serem as duas aspas colocadas antes do endereço falso)

São aquelas duas aspas que original o bug na app do Gmail para Android, que faz com que o email seja enviado com o endereço de email original escondido, e aparecendo o endereço de email que desejarmos. O mais preocupante é que estes emails não são apanhado pelo Google como sendo spam/phishing e chegarão aos destinatários como tendo sido enviados deste email - o que irá dificultar a sua detecção como emails falsos (os utilizadores mais avançados continuarão a poder ir espreitar os headers do email para comprovar a sua veracidade, mas isso não é algo que a maioria dos utilizadores vá fazer.)
Estranhamente, para uma empresa que normalmente gosta de recompensar quem encontra os bugs, desta vez o Google limitou-se a responder que não considerava este bug uma falha de segurança...

5 comentários:

  1. ja Tinha visto essa notícia há uns dias no entanto não me parece nada credível, primeiro porque no Gmail do Android não há como mudar o nome, e na versão web, funciona mesmo sem as aspas no entanto não é preciso ir ler os headers para apanhar a jogada, basta passar o rato por cima... pelo menos no Ubuntu ao passar o resto por cima e mostrado o verdadeiro remetente....

    ResponderEliminar
  2. ja Tinha visto essa notícia há uns dias no entanto não me parece nada credível, primeiro porque no Gmail do Android não há como mudar o nome, e na versão web, funciona mesmo sem as aspas no entanto não é preciso ir ler os headers para apanhar a jogada, basta passar o rato por cima... pelo menos no Ubuntu ao passar o resto por cima e mostrado o verdadeiro remetente....

    ResponderEliminar
    Respostas
    1. É nos settings da própria conta Google (através dos settings do sistema) que te deixa mudar o nome, e que depois causa este bug.

      Eliminar