Um bug bem chato apareceu no app para Gmail pessoal no Android. Um pesquisador de segurança de nome Yah Zhu descobriu um método que consegue esconder o seu endereço de email e fazer com que e-mails enviados pelo app do Google se pareça com qualquer e-mail que você queira.

O método inclui o uso de uma aspa extra no início de um endereço de email no campo “Nome para exibição” , igual o que eu cito aqui abaixo :

yan “”security@google.com”

Isto abre o leque para muita coisa chata. Eu poderia mandar um e-mail como presidente@brasil.gov.br ou até, outro email qualquer, e, com toda certeza, isto abre um leque bem complicado principalmente para pessoas que não tenham o coração tão nobre e bom como o nosso.

Ao colocar as aspas o endereço aparece com um tipo de link e realmente, é um bug estranho para um app móvel.

Esta tipo de problema abre um precedente para diversos tipos de golpe, principalmente relacionados com falsificação de e-mails. Ou seja, eu poderia mandar um e-mail com um link malicioso, por exemplo para pessoas utilizando um endereço oficial da Receita Federal e assim, gerar problemas para milhares de pessoas.

O bug foi divulgado ao Google na semana passada mas parece ter sido desconderado por ela e, agora, o desenvolvedor resolveu que isto deveria ficar público, talvez até para forçar uma ação mais rápida da empresa.

E esta falta de vontade aparente de resolver o problema deve ser porque o filtro de spam do Gmail já consegue tratar isto, mas, isto se torna um pouco complicado quando pensamos que diversos servidores de e-mail podem não ter um anti spam tão bom quanto o do Google.

Mesmo tendo um filtro bom o Google deve se preocupar com este tipo de bug, pois alguém poder usar o endereço de e-mail de outro não deve ser tratado como algo normal, já que no futuro spammers podem desenvolver métodos que poderão causar problemas a diversas pessoas.

O que é estranho neste caso é o Google ignorar algo deste tipo sendo que ele iniciou uma grande campanha na semana passada para a segurança do e-mail, relacionado a criptografia.

Se iremos ver uma ação mais objetiva da empresa após a divulgação não sabemos mas, com toda certeza, isto é uma falha que não deveria estar sendo permitida para a empresa nos seus produtos relacionados a comunicação.

Esperemos que esta falha seja sanada rapidamente nas próximas atualizações do produto.

Via Motherboard