As contas do serviço Gmail, do Google, estão em perigo. Conforme alertou o especialista em descoberta de falhas, que se apresenta como Petko Petkov, contas do Gmail podem ser facilmente invadidas, permitindo que mensagens arquivadas e até futuros e-mails sejam encaminhados para a caixa de entrada do invasor.

A falha batizada de "cross-site request forgery" (CSRF), foi revelada na terça-feira (25/09) por Petkov, que atua no Reino Unido fazendo testes de vulnerabilidades na web. Nas últimas duas semanas, o especialista revelou bugs que ainda não haviam sido corrigidos no Quick Time, da Apple, no Windows Media Player, da Microsoft, e no formato Portable Document Format (PDF), da Adobe.

Petkov não revelou detalhes sobre a falha no Gmail, mas afirmou que invasores podem usar a ferramenta de filtragem do sistema de mensagens eletrônicas do Google para explorar o bug.

Na prática, segundo ele, o invasor conseguiria o acesso fazendo a vítima visitar um web site malicioso enquanto estivesse acessando sua conta no Gmail. O site fraudulento iniciaria um comando HTML usado para upload de arquivos chamado "multipart/form-date POST" para injetar um filtro falso na conta de Gmail da vítima.

Petkov publicou uma série de imagens do site Gnucitizen.org, ilustrando um possível ataque. "No exemplo, o invasor cria um filtro, que simplesmente busca e-mails com arquivos anexos e os encaminha para um endereço de e-mail de sua escolha", detalha.

"Observe que futuras mensagens também serão encaminhadas. O ataque permanecerá ativo enquanto a vítima tiver o filtro programado em sua lista, mesmo se a vulnerabilidade inicial, que causou a invasão, seja solucionada pelo Google", alertou Petkov.

Até o momento, o Google não confirmou se foi informado sobre a falha ou quando solucionaria o problema.

Jeremy Grossman, Chief Technology Officer (CTO) da WhiteHat Security Inc., na Califórnia, disse que a falha no Gmail é "especialmente assustadora". Em um post em seu blog, Grossman detalhou sua observação: "Contas de webmail são, de muitas maneiras, mais valiosas do que contas bancárias porque mantém acessos a muitas outras contas online (blogs, bancos, comércio eletrônico etc.). Ataques explorando esta vulnerabilidade seriam simples, silenciosos e extremamente inteligentes."

Em um comentário feito sobre o post de Petkov, um internauta afirma que uma extensão do browser Firefox poderia bloquear o acesso ao bug do Gmail. Giorgio Maone, criador do add-on "NoScript", afirmou que sua extensão bloqueia ataques de CSRF. O "NoScript" bloqueia conteúdos executáveis, que podem rodar em sites não-confiáveis, em JavaScript, Java e outras linguagens. Usuários do Firefox podem baixá-lo no site da Mozilla.