Se você faz uso do Gmail corporativo (a versão Workspace), pode ser que alguém esteja recebendo todos seus e-mails sem que você nunca tenha tido qualquer sinal de haver algo errado. É uma falha de segurança do Gmail, encontrada pela primeira vez em 2020, reconhecida ostensivamente pelo Google então, mas que não foi corrigida até agora.

Por encontrá-la, o desenvolvedor Leandro Duarte chegou a receber uma comendação: foi registrado no Hall da Fama do Google e ofertado um prêmio de US$ 500 – que ele preferiu doar para caridade. Mas, depois dessa festa toda, o Google parece ter esquecido do problema.

Nascido na favela de Paraisópolis, São Paulo, Leandro é autor do livro ‘Hackear Sem Programar’, no qual descreve o problema e vários outros. Ele veio por iniciativa própria falar com o Olhar Digital para explicar sua preocupação.

“O Google não corrigiu a falha depois de anos”, afirma. “Entrei em contato algumas vezes, mas, mesmo assim, nada.”

publicidade

Como devia funcionar

Com a presença do desenvolvedor, conseguimos reproduzir o problema. É basicamente o seguinte: qualquer e-mail do Google pode ser facilmente configurado para encaminhar mensagens automaticamente para outro e-mail. É uma função comum, que já tem muitos anos.

Para ativá-la, você clica em ‘Configurações’ (a engrenagem), ‘Todas as Configurações’, e então na aba ‘Encaminhamento e POP/IMAP’.

Como abaixo:

Marque ‘Ativar POP para todos os e-mails (mesmo os que já foram baixados)’ e ‘Ativar IMAP’. Clique no botão ‘Adicionar um endereço de encaminhamento’. Ele pedirá a confirmação em uma janela-pop up.

Após isso, o endereço digitado receberá um e-mail do Google pedindo confirmação:

O e-mail tem um link para essa confirmação, em outro pop-up. Feito isso, basta voltar no e-mail original, na mesma tela de configurações, e ativar o encaminhamento. O processo inteiro pode ser feito em questão de segundos.

Onde está a falha de segurança no Gmail

Até aqui, é só o Gmail fazendo o que devia fazer. A falha começa por aqui: se um e-mail do Google é um Gmail padrão – isto é, termina com @gmail.com – você receberá este aviso:

Que afirma: “Você está encaminhando seus e-mails para [o e-mail que você digitou]. Este aviso deixará de ser exibido em 7 dias”. O aviso está aí caso o encaminhamento tenha sido ativado maliciosamente.

Aqui vai o bug: se a conta é do Google, mas não termina em @gmail.com, mas tem outro domínio – como o de seu trabalho, @empresaexemplo.com.br – esse aviso não existe. O processo é exatamente igual, mas não aparece aviso nenhum.

Isso acontece, por exemplo, com empresas e organizações que usam o serviço pago Google Workspace (antigo GSuite). Basta ser um e-mail não pessoal fornecido pelo o Google, com outro domínio que não @gmail.

Qual é o risco?

O risco não é o de uma invasão de força bruta – é preciso acesso à tela de configuração do Gmail, o que só acontece se você estiver logado no browser, já com suas credenciais ativadas.

Mas, dada a facilidade para começar, não é tão difícil assim. Por exemplo, bastaria ao CEO de uma empresa dar as costas por 5 minutos, deixando o webmail aberto, para um funcionário botar o ‘grampo’. Alguém também pode controlar remotamente a máquina, como hackers através de trojans, ou a equipe de TI da empresa.

No app, não há como configurar – e também não há aviso.

O mesmo processo poderia ser feito numa conta pessoal @gmail.com. Mas a pessoa receberia o aviso. Quando isso é feito na conta profissional, a pessoa não tem qualquer indício de que seus e-mails estão sendo mandados para outra. O único jeito de descobrir é abrir manualmente essas configurações e ver se há um e-mail de encaminhamento configurado (e removê-lo se tiver, é claro).

O que o Google diz

Procuramos o Google para obter uma resposta. Eis o que eles disseram:

Criamos nosso Programa de Recompensas de Vulnerabilidade especificamente para identificar e corrigir possíveis bugs como este. Agradecemos a participação do pesquisador e da comunidade de segurança em geral nesses programas. Estamos investigando o assunto e tomaremos as medidas necessárias para ajudar a proteger os usuários.

Serviço de comunicação do Google

É uma resposta esperada. Mas eles também deram uma resposta hoje à tarde, antes dessa, ao próprio Leandro Duarte. Foi uma atualização no relato original do problema. E é um tanto diferente da que está acima.

Olá Leandro

Queríamos que você soubesse que discutimos esse [problema] com a equipe do Gmail e concluímos que essa função [isto é, o aviso] para o Workspace [o Gmail empresarial] seria interessante de talvez eventualmente ter nas contas de consumidor, mas não vamos tratar como uma vulnerabilidade, mas sugestão de [inclusão de] função.

Obrigado novamente por seu relato

Equipe técnica do Google

Parece bem definitiva essa resposta. Ou o Google mudou de ideia em horas ou uma resposta contradiz a outra.

Seja como for, se você tem o Google corporativo, abra a configuração e veja se não há nenhum e-mail cadastrado por lá. É só repetir o processo descrito acima.

Leia mais:

Já assistiu aos nossos vídeos no YouTube? Inscreva-se no nosso canal!