2020/08/29

Google corrige em horas bug no Gmail que conhecia há meses


A Google apressou-se a corrigir em poucas horas um bug do Gmail após ter sido revelado publicamente, apesar de ter sido informada do mesmo há meses sem que nada tivesse feito.

As questões de segurança são um ponto crítico dos serviços online, e a própria Google às vezes mostra pouca tolerância às mesmas, ameaçando com a revelação de bugs antes do habitual prazo de 90 dias como forma de pressionar as empresas envolvidas a corrigirem-no quanto antes. Só que essa atitude é agora posta em causa, pois parece que também a Google sofre de problemas de "lentidão" na correcção de bugs... a não ser quando são tornados públicos.

Neste caso, a Google foi informada há meses de um bug no Gmail que permitia que um atacante utilizasse o serviço como forma de validar emails falsos.


O atacante começava por enviar um email com recipientes falsos para uma conta no G Suite, que depois era reencaminhada de forma autenticada para o destinatário, passando as validações SPF (Sender Policy Framework) e DMARC.

A investigadora que descobriu este bug reportou o caso à Google no início de Abril, mas os meses foram passando sem que nada fosse feito. Em Agosto voltou a contactar a Google dizendo que iria revelar o bug publicamente, com a Google a continuar a prometer que iria resolver o assunto... mas a verdade é que só mesmo quando o bug foi divulgado publicamente é que a Google se apressou a tratar do caso, fazendo-o numa questão de poucas horas.

É caso para dizer: havia necessidade de ter adiado tanto a resolução do problema?

4 comentários:

  1. Podiam já ter feito a maior parte do trabalho nesse tempo... E a exposição acelerou a release sem tantos teste...

    Uma hipótese

    ResponderEliminar
  2. Nada como dizer a todo o mundo acerca de uma vulnerabilidade que pode ser imediatamente explorada, e que poderia ter sido solucionada há muito, para que as coisas sejam imediatamente resolvidas.

    Pressão pública realmente resulta.
    Também faz pensar quando estas empresas querem ganhar aqueles contractos milionários dos governos e alegam preocupar-se muito com a segurança mas depois aparecem destes exemplos que deixam qualquer um a pensar... será que se preocupam assim tanto?

    ResponderEliminar

[pub]