Categorias

Google corrige falha grave de segurança no Gmail

Google já corrigiu falha de egurança no serviço
Google já corrigiu falha de egurança no serviço

Um especialista em segurança divulgou informações sobre algo que foi descrito como “uma falha grave de segurança no Gmail”, pelo Google. A brecha aparece no sistema de recuperação de contas do email, e utiliza um cookie para roubar a senha dos usuários.

Orlen Hafif alertou o Google assim que descobriu a falha, e a companhia demorou dez dias para corrigi-la. Ele relatou todo o processo de roubo de senhas em seu blog, e exibiu como utilizá-la em um vídeo (disponível abaixo).

A demonstração começa a partir de um email de phishing. Como é apenas um exemplo, Hafif parece não ter se preocupado muito com a elaboração do layout e o endereço robô da mensagem, mas, um invasor poderia utilizar um visual e um remetente mais “reais”. O texto traz uma versão levemente modificada do texto padrão do Google, e alerta o usuário que ele deve alterar sua senha.

Ao clicar no link, o usuário é redirecionado a uma página HTTPS, que parece legítima. Contudo, em uma olhada mais minuciosa, era possível verificar que a “URL dentro da URL” não era verdadeira. Além disso, vale lembrar que o processo de recuperação de senhas do Google é relativamente longo – pelo menos é bem maior do que aquele apresentado no vídeo.

 

Através de um código em JavaScript, a informação inserida na página falsa seria enviada diretamente para o cibercriminoso, e através de um cookie utilizado pelo sistema do Google, era possível fazer com que alguns usuários inexperientes pensem que estão, de fato, no sistema de recuperação do Gmail.

O Google já confirmou que a falha existia, e afirmou que já fez os reparos necessários. Hafif vai receber uma recompensa em dinheiro por ter informado a falha, e vai ganhar um lugar no Hall da Fama da companhia.