Empresa cearense aponta falha de segurança no Gmail
Em teste da empresa cearense Morphus Lab, constatou-se que é possível que uma pessoa receba email de um contato conhecido, sendo que a mensagem foi, na verdade, enviada por um hacker
É possível você receber um email de um amigo seu, com quem você frequentemente troca mensagens, sem que ele tenha enviado? E sem que esta mensagem apareça entre os itens enviados da caixa de email dele ou que você receba um alerta de que pode estar sendo uma possível vítima de falsificação? Se o seu email for Gmail, a resposta é sim.
É o que mostra um teste realizado pelo Morphus Lab, empresa cearense especializada em segurança da internet, que encontrou falhas no sistema de segurança deste produto da Google.
O diretor da pesquisa da Morphus Lab, Renato Marinho, explica que a falsificação de origem de email é um problema antigo e que é inerente ao protocolo de envio de email, o Simple Mail Transfer Protocol (SMTP), que é a forma como os e-mails trafegam pela internet. Mas que ao longo dos anos as empresas vêm buscando combater por meio de mecanismos que filtrem a mensagem antes desta chegar ao usuário.
Porém, o teste realizado por eles detectou que se a mensagem for enviada de outro servidor de email na internet, mas utilizando informações de um remetente real é possível enviar a mensagem falsa sem que o usuário consiga identificar facilmente.
Seja assinante O POVO+
Tenha acesso a todos os conteúdos exclusivos, colunistas, acessos ilimitados e descontos em lojas, farmácias e muito mais.
Assine
“Em um cenário em que a mensagem recebida é de uma pessoa com quem você normalmente tem contato, se não chegar nenhum alerta, você tende a acreditar que aquela mensagem realmente veio daquele contato.
O que é um risco porque a mensagem falsa pode ser desde uma brincadeira sem consequência até mesmo algo mais comprometedor, como passar um link que favoreça ações maliciosas que podem infectar o computador da vítima”.
Ele explica que se o email falso for aberto de um computador, um olhar mais atento do usuário ao cabeçalho pode revelar que a origem daquela mensagem não veio do servidor do Gmail e sim de outro.
Isso porque, ao lado do remetente, aparece uma informação adicional de onde aquela mensagem foi originada. Mas se a mensagem for aberta por meio da versão mobile do Gmail a situação complica.
“No android, com um pouco mais de trabalho você consegue perceber que o servidor por onde aquele email foi enviado não é o mesmo, mas nos aplicativos do Gmail para IPhone não permite ver estes detalhes. Nem as pessoas mais conhecedoras de segurança poderiam ver a veracidade daquela mensagem. Mas, mesmo se tivesse, seria exigir muito do usuário que visse isso”.
Ele diz que após constatar o resultado, a Morphus Lab procurou a Google para relatar a falha de segurança no sistema. Porém, em resposta, a empresa informou que não considera a ação um bug de segurança. Renato, no entanto, ressalta a importância das pessoas terem mais atenção às mensagens recebidas por email.
“É difícil, mas ao usuário resta ficar atento aos detalhes das mensagens que recebe. Se você achar estranho aquele email, uma saída é observar no computador, no cabeçalho, a origem de onde foi enviada a mensagem”.
O POVO procurou a Google, mas ainda não obteve resposta.
O artigo da Morphus Lab, em inglês, foi disponibilizado hoje no Linkedin: http://bit.ly/2k4q5wC
Dúvidas, Críticas e Sugestões? Fale com a gente