Nuevo fallo de GMAIL permite a un atacante enviar emails de manera anónima, de tal manera que no podamos saber quién lo envía.

Cuando parece que Gmail es el servicio perfecto, que es totalmente seguro y que nos protege de todo tipo de malware enviándolo a la carpeta de Spam o directamente ni mostrándolo como recibido, un nuevo fallo permite a un atacante enviar emails de manera anónima, de tal manera que no podamos saber quién lo envía.

Cuidado si te llega un email anónimo a Gmail

Este fallo permite esconder el nombre del emisor, así como el correo electrónico, mediante pequeños cambios en el texto. Si se modifica la cabecera del emisor por un <object>, <script> o <img>, aparece un espacio en blanco en el nombre del emisor.

Además, se hace muy difícil encontrar la identidad real, ya que no aparece nada en la parte donde normalmente se muestran todos esos datos; ni siquiera abriendo el email.

gmail

Otra cosa que tampoco puede hacerse es responder al email, lo cual suele mostrar el destinatario. Tampoco aparece ninguna información adicional en la parte de Mostrar original, que normalmente revela hasta la dirección IP de origen. Hay que irse a la información del correo sin procesar para encontrar el origen, donde aparece un <img> que encima está mal escrito (imaige), y en la parte inferior aparece finalmente la dirección de correo.

Hacer esto no es algo que esté al alcance de todos los usuarios de Gmail, por lo que debéis tener el máximo cuidado cuando vayáis a abrir un email de este tipo que no muestra el nombre de origen, ya que si el atacante ha creado una interfaz de phishing muy parecida a la que intenta suplantar, es posible que creamos que estamos ante un email real de un banco, suministradora de electricidad, etc. En móviles, los operadores suelen enviar notificaciones por SMS donde no se muestra el número, por lo que muchos usuarios tenderán a creer que es real.

El descubridor del fallo creó un email de phishing en el que cualquier persona puede acabar cediendo las credenciales de su cuenta de Google, y puede perder el control de su cuenta si no tiene activada la verificación en dos pasos.

Gmail tiene ya tres fallos de seguridad reconocidos que Google no ha arreglado

Este fallo no es el único descubierto recientemente en Gmail. De hecho, otro fallo parecido descubierto hace una semana permitía cambiar la cabecera del origen para poner el email que el atacante quisiera. Además, a esto se le suma otro fallo que lleva presente casi dos años en la app de Gmail en Android, y que permite a un atacante cambiar el destinatario de un email y que aparezca el que él quiera en el móvil del receptor.

Si Google no lo ha arreglado es porque no quiere, según afirma el desarrollador que ha descubierto dos de los tres fallos. La solución sería tan simple como comprobar las cabeceras de los emails y denegar comunicación a cualquier dirección que tuviera una estructura anómala. De momento, ha puesto en conocimiento de Google todos estos fallos, y la compañía todavía no se ha pronunciado sobre ellos.

Ver información original al respecto en Fuente>