Os tempos em que era comum trocar-se o endereço de email de envio para brincar (ou enganar) os destinatários já lá vão, mas há um bug na app do Gmail para Android que facilita a utilização desta técnica e que parece escapar aos filtros de detecção de spam do Google.
O serviço de email que utilizamos sempre permitiu que o remetente pudesse falsificar o endereço de email de onde supostamente teria sido enviado - o que noutros tempos tornava divertido mandar para amigos emails em nome de "billgates@microsoft.com" ou outras coisas do género. Mas o problema não era a sua utilização como brincadeira entre amigos, mas sim o potencial de abuso para o phishing, que tornava mais complicado a detecção de emails fraudulentos.
Rapidamente os serviços de email se adaptaram a estas "brincadeiras", validando se o suposto endereço de envio coincidia realmente com o servidor de onde estava a ser enviado; fazendo com que estes emails fossem directamente enviados para a pasta de spam, sinalizando o fim de uma era. Uma era que afinal parece não estar definitivamente terminada.
Aparentemente há um bug na app do Gmail para Android que permite enviar emails com o email do remetente falsificado. Tudo o que o utilizador tem que fazer é mudar o seu nome para algo como:
- john ""security@google.com"
(com o truque a serem as duas aspas colocadas antes do endereço falso)
São aquelas duas aspas que original o bug na app do Gmail para Android, que faz com que o email seja enviado com o endereço de email original escondido, e aparecendo o endereço de email que desejarmos. O mais preocupante é que estes emails não são apanhado pelo Google como sendo spam/phishing e chegarão aos destinatários como tendo sido enviados deste email - o que irá dificultar a sua detecção como emails falsos (os utilizadores mais avançados continuarão a poder ir espreitar os headers do email para comprovar a sua veracidade, mas isso não é algo que a maioria dos utilizadores vá fazer.)
Estranhamente, para uma empresa que normalmente gosta de recompensar quem encontra os bugs, desta vez o Google limitou-se a responder que não considerava este bug uma falha de segurança...
ja Tinha visto essa notícia há uns dias no entanto não me parece nada credível, primeiro porque no Gmail do Android não há como mudar o nome, e na versão web, funciona mesmo sem as aspas no entanto não é preciso ir ler os headers para apanhar a jogada, basta passar o rato por cima... pelo menos no Ubuntu ao passar o resto por cima e mostrado o verdadeiro remetente....
ResponderEliminarEste comentário foi removido pelo autor.
Eliminarao passar o *rato
Eliminarja Tinha visto essa notícia há uns dias no entanto não me parece nada credível, primeiro porque no Gmail do Android não há como mudar o nome, e na versão web, funciona mesmo sem as aspas no entanto não é preciso ir ler os headers para apanhar a jogada, basta passar o rato por cima... pelo menos no Ubuntu ao passar o resto por cima e mostrado o verdadeiro remetente....
ResponderEliminarÉ nos settings da própria conta Google (através dos settings do sistema) que te deixa mudar o nome, e que depois causa este bug.
Eliminar