Por Fábio Marton
Se você faz uso do Gmail corporativo (a versão Workspace), pode ser que alguém esteja recebendo todos seus e-mails sem que você nunca tenha tido qualquer sinal de haver algo errado. É uma falha de segurança do Gmail, encontrada pela primeira vez em 2020, reconhecida ostensivamente pelo Google então, mas que não foi corrigida até agora.
Nos siga no Instagram, Telegram ou no Whatsapp e fique atualizado com as últimas notícias de nossas forças armadas e indústria da defesa.
Por encontrá-la, o desenvolvedor Leandro Duarte chegou a receber uma comendação: foi registrado no Hall da Fama do Google e ofertado um prêmio de US$ 500 – que ele preferiu doar para caridade. Mas, depois dessa festa toda, o Google parece ter esquecido do problema.
Nascido na favela de Paraisópolis, São Paulo, Leandro é autor do livro ‘Hackear Sem Programar’, no qual descreve o problema e vários outros. Ele veio por iniciativa própria falar com o Olhar Digital para explicar sua preocupação.
“O Google não corrigiu a falha depois de anos”, afirma. “Entrei em contato algumas vezes, mas, mesmo assim, nada.”
Como devia funcionar
Com a presença do desenvolvedor, conseguimos reproduzir o problema. É basicamente o seguinte: qualquer e-mail do Google pode ser facilmente configurado para encaminhar mensagens automaticamente para outro e-mail. É uma função comum, que já tem muitos anos.
Para ativá-la, você clica em ‘Configurações’ (a engrenagem), ‘Todas as Configurações’, e então na aba ‘Encaminhamento e POP/IMAP’.
Como abaixo:
Marque ‘Ativar POP para todos os e-mails (mesmo os que já foram baixados)’ e ‘Ativar IMAP’. Clique no botão ‘Adicionar um endereço de encaminhamento’. Ele pedirá a confirmação em uma janela-pop up.
Após isso, o endereço digitado receberá um e-mail do Google pedindo confirmação:
O e-mail tem um link para essa confirmação, em outro pop-up. Feito isso, basta voltar no e-mail original, na mesma tela de configurações, e ativar o encaminhamento. O processo inteiro pode ser feito em questão de segundos.
Onde está a falha de segurança no Gmail
Até aqui, é só o Gmail fazendo o que devia fazer. A falha começa por aqui: se um e-mail do Google é um Gmail padrão – isto é, termina com @gmail.com – você receberá este aviso:
Que afirma: “Você está encaminhando seus e-mails para [o e-mail que você digitou]. Este aviso deixará de ser exibido em 7 dias”. O aviso está aí caso o encaminhamento tenha sido ativado maliciosamente.
Aqui vai o bug: se a conta é do Google, mas não termina em @gmail.com, mas tem outro domínio – como o de seu trabalho, @empresaexemplo.com.br – esse aviso não existe. O processo é exatamente igual, mas não aparece aviso nenhum.
Isso acontece, por exemplo, com empresas e organizações que usam o serviço pago Google Workspace (antigo GSuite). Basta ser um e-mail não pessoal fornecido pelo o Google, com outro domínio que não @gmail.
Qual é o risco?
O risco não é o de uma invasão de força bruta – é preciso acesso à tela de configuração do Gmail, o que só acontece se você estiver logado no browser, já com suas credenciais ativadas.
Mas, dada a facilidade para começar, não é tão difícil assim. Por exemplo, bastaria ao CEO de uma empresa dar as costas por 5 minutos, deixando o webmail aberto, para um funcionário botar o ‘grampo’. Alguém também pode controlar remotamente a máquina, como hackers através de trojans, ou a equipe de TI da empresa.
No app, não há como configurar – e também não há aviso.
O mesmo processo poderia ser feito numa conta pessoal @gmail.com. Mas a pessoa receberia o aviso. Quando isso é feito na conta profissional, a pessoa não tem qualquer indício de que seus e-mails estão sendo mandados para outra. O único jeito de descobrir é abrir manualmente essas configurações e ver se há um e-mail de encaminhamento configurado (e removê-lo se tiver, é claro).
O que o Google diz
Procuramos o Google para obter uma resposta. Eis o que eles disseram:
Criamos nosso Programa de Recompensas de Vulnerabilidade especificamente para identificar e corrigir possíveis bugs como este. Agradecemos a participação do pesquisador e da comunidade de segurança em geral nesses programas. Estamos investigando o assunto e tomaremos as medidas necessárias para ajudar a proteger os usuários.
Serviço de comunicação do Google
É uma resposta esperada. Mas eles também deram uma resposta hoje à tarde, antes dessa, ao próprio Leandro Duarte. Foi uma atualização no relato original do problema. E é um tanto diferente da que está acima.
Olá Leandro
Queríamos que você soubesse que discutimos esse [problema] com a equipe do Gmail e concluímos que essa função [isto é, o aviso] para o Workspace [o Gmail empresarial] seria interessante de talvez eventualmente ter nas contas de consumidor, mas não vamos tratar como uma vulnerabilidade, mas sugestão de [inclusão de] função.
Obrigado novamente por seu relato
Equipe técnica do Google
Parece bem definitiva essa resposta. Ou o Google mudou de ideia em horas ou uma resposta contradiz a outra.
Seja como for, se você tem o Google corporativo, abra a configuração e veja se não há nenhum e-mail cadastrado por lá. É só repetir o processo descrito acima.
Fonte: Olhar Digital
Participe no dia a dia do Defesa em Foco
Dê sugestões de matérias ou nos comunique de erros: WhatsApp 21 99459-4395