- Como criar um e-mail? (Gmail, Outlook, Yahoo! ou personalizado)
- Como receber e-mails de outras contas no Gmail
Basicamente, o UOL Mail permite rodar um comando JavaScript que captura o token de acesso do usuário sem que ele saiba, apenas abrindo um e-mail sem anexo. Isso pode ser usado para redirecionar as mensagens da vítima para outro endereço.
A falha está presenta na versão web e no app para iPhone do UOL Mail, assim como no BOL Mail. Ela potencialmente afetaria também o e-mail da Folha e o UOL Host Mail, oferecido para quem adquire serviços de hospedagem.
O UOL é um dos dez domínios mais visitados da web brasileira, segundo levantamento da Alexa Internet. O portal destaca o e-mail na parte superior, e cobra pelo serviço: são R$ 12,90 mensais para 25 GB na caixa de entrada mais 5 GB de backup na nuvem. O BOL Mail, por sua vez, é gratuito e oferece 6 GB de espaço (contra 15 GB do Gmail).
O Tecnoblog entrou em contato com o UOL: a empresa “informa que segue rígidos protocolos de segurança e não há qualquer evidência de falha em seu sistema de e-mails”.
Falha no UOL Mail funciona há mais de um ano
Gabriel afirma ter comunicado a falha ao UOL em outubro de 2018, quando um membro da empresa confirmou o recebimento. Alguns dias depois, ele foi informado de que a equipe de segurança estava tomando medidas para resolver a falha. No entanto, um ano e sete meses, ela continua funcionando.
O problema no UOL Mail envolve algo chamado “cross-site scripting”, ou XSS: é quando uma página da web permite injetar códigos para rodar na máquina do usuário. O pesquisador explica o teste básico que usou para checar a possibilidade de XSS: ele coloca a tag <video> e, dentro dela, insere um comando JavaScript que alerta sobre erros.
Os principais serviços de webmail (Gmail, Outlook.com, Yahoo Mail) não rodam vídeos incorporados no corpo de uma mensagem porque ignoram a tag <video>. Enquanto isso, o UOL Mail carrega essa tag e ainda roda o comando JavaScript dentro dela, que faz aparecer uma mensagem de erro (pois não há um endereço para o vídeo).
A vulnerabilidade está no cliente, não nos servidores do UOL Mail. Gabriel esclarece que usou apenas suas contas pessoais em todos os testes; não houve invasão de servidores nem algo do tipo.
Com um pouco mais de esforço, é possível criar um ataque para ativar o redirecionamento de e-mails sem a vítima saber. Este recurso é fornecido através de um endereço no domínio config.uol.com.br, que usa um token para autenticar o usuário.
Esse token de acesso pode ser capturado ao rodar um comando JavaScript no navegador. Ele pode ficar “escondido” na tag <video> para ser executado de forma automática assim que o usuário abrir o e-mail.
A brecha poderia ser utilizada para obter informações confidenciais, como links para redefinir senha ou códigos para autenticação de dois fatores. E a solução é simples: bastaria adicionar o comando “sandbox” para inviabilizar esse ataque.
Gabriel explica que, por enquanto, a solução é não acessar o UOL Mail através da interface web: em vez disso, ele recomenda usar um cliente dedicado como o Outlook via IMAP, que não vai rodar os comandos JavaScript que permitem roubar o token. Claro, também é possível migrar para outro serviço, como Gmail ou Outlook.com.
Nota de transparência: o Tecnoblog é um parceiro de conteúdo do UOL. No entanto, nosso conteúdo permanece independente, não estando sujeito a influências externas na equipe editorial.
Exclusivo: UOL tem falha grave de segurança no e-mail desde 2018
Fonte: https://tecnoblog.net/345269/exclusivo-uol-mail-falha-seguranca/
Nenhum comentário:
Antes de deixar um comentário, acesse o site meuspy.com e veja como é fácil espionar celulares.