Uma "séria falha de segurança" no Gmail transforma o serviço de email do Google em uma máquina de envio de spam, de acordo com um relatório de segurança recente.
O INSERT, ou Information Security Research Team, criou uma prova de conceito que explora a "hierarquia de confiança" que existe entre provedores de serviços de email. Ao explorar a falha na forma como o Google encaminha mensagens, um spammer pode enviar milhares de spams através do serviço de SMTP do Google, passando pelo limite de 500 endereços e pelas proteções contra fraudes.
O relatório destaca que com o aumento no volume de spam, os provedores de serviços de email se voltaram para whitelists e blacklists para ajudar a bloquear endereços IP de spammers conhecidos. Como o Gmail cai na categoria whitelist (confiável), as mensagens passam pela filtragem contra spam.
O INSERT informou que não é necessária nenhuma experiência extraordinária para explorar a falha:
"Sobre isso, este documento apresenta um relatório de vulnerabilidade e uma prova de conceito que pode demonstrar como qualquer pessoa com nenhum privilégio especial para o acesso à Internet, fora a capacidade de se conectar à servidores SMTP (TCP, porta 25) e HTTP (TCP, porta 80), é capaz de explorar uma única conta do Gmail para poder obter acesso praticamente irrestrito à grande whitelist da infraestrutura de relay SMTP do Google".
O Google não comentou sobre o relatório. Esta não é a primeira ferramenta do Google a cair nas mãos dos spammers. Em Abril, os spammers começaram a usar o Google Calendar para enviar lixo eletrônico.
