Em meados de Abril, a investigadora de segurança Allison Husain descobriu uma falha grave no sistema de envio de mensagens do Gmail – da Google – que poderia contornar as medidas de segurança do sistema para enviar mensagens fraudulentas.
Esta falha contornava mesmo as regras de Sender Policy Framework (SPF) e Domain Message Authentication, Reporting, and Conformance (DMARC), duas tecnicas utilizadas para prevenir o envio de mensagens fraudulentas sobre diferentes domínios na Internet.
Como o investigador detalhou, esta falha era explorada através do sistema de validação de mensagens do G Suite, e poderia fazer com que mensagens fraudulentas enviadas por terceiros pudessem aparecer na caixa de entrada dos utilizadores como sendo de destinatários legítimos.
Não existem dúvidas que esta falha é bastante grave, e poderia causar graves problemas caso fosse revelada. Por este motivo, o investigador de segurança terá informado a Google sobre a mesma no dia 16 de Abril, ao qual a empresa classificou a mesma com a gravidade de 2 (elevada). No entanto, a resolução da mesma não foi aplicada de imediato.
No dia 1 de Agosto, Husain terá voltado a contactar a Google e a informar que iria tornar a falha do conhecimento público no dia 17 de Agosto. A Google voltou a confirmar o problema, e deixou a data de 17 de Setembro para disponibilizar a correção – algo que voltou mais uma vez a não acontecer.
Apenas quando a falha foi tornada pública pela investigadora, no dia 19 de Agosto, é que a Google lançou uma correção para o problema em menos de sete horas. No final, será estranho o motivo pelo qual a Google não terá corrigido o problema assim que foi revelado à empresa, ainda mais tratando-se de algo considerado como grave e que estaria previsto de ser tornado publico com o conhecimento da mesma.
Ainda assim, a falha foi corrigida, e os utilizadores não necessitam de realizar qualquer mudança, já que o problema foi resolvido a nível dos servidores da própria empresa.
Nenhum comentário
Seja o primeiro!