Início » Internet » Exclusivo: UOL tem falha grave de segurança no e-mail desde 2018

Exclusivo: UOL tem falha grave de segurança no e-mail desde 2018

UOL Mail tem falha que roda código JavaScript de e-mail malicioso e permite redirecionar mensagens para outra conta

Felipe Ventura Por

O pesquisador de segurança Gabriel Pato revela com exclusividade ao Tecnoblog que encontrou uma brecha no UOL Mail: se o usuário abrir um e-mail malicioso que parece estar vazio, o invasor poderá redirecionar todas as mensagens para outra conta, incluindo pedidos de recuperação de senha. O problema foi relatado em 2018, mas permanece sem ser corrigido; a empresa diz que “não há qualquer evidência de falha”.

UOL Mail

Basicamente, o UOL Mail permite rodar um comando JavaScript que captura o token de acesso do usuário sem que ele saiba, apenas abrindo um e-mail sem anexo. Isso pode ser usado para redirecionar as mensagens da vítima para outro endereço.

A falha está presenta na versão web e no app para iPhone do UOL Mail, assim como no BOL Mail. Ela potencialmente afetaria também o e-mail da Folha e o UOL Host Mail, oferecido para quem adquire serviços de hospedagem.

O UOL é um dos dez domínios mais visitados da web brasileira, segundo levantamento da Alexa Internet. O portal destaca o e-mail na parte superior, e cobra pelo serviço: são R$ 12,90 mensais para 25 GB na caixa de entrada mais 5 GB de backup na nuvem. O BOL Mail, por sua vez, é gratuito e oferece 6 GB de espaço (contra 15 GB do Gmail).

O Tecnoblog entrou em contato com o UOL: a empresa “informa que segue rígidos protocolos de segurança e não há qualquer evidência de falha em seu sistema de e-mails”.

UOL Mail

Falha no UOL Mail funciona há mais de um ano

Gabriel afirma ter comunicado a falha ao UOL em outubro de 2018, quando um membro da empresa confirmou o recebimento. Alguns dias depois, ele foi informado de que a equipe de segurança estava tomando medidas para resolver a falha. No entanto, um ano e sete meses, ela continua funcionando.

O problema no UOL Mail envolve algo chamado “cross-site scripting”, ou XSS: é quando uma página da web permite injetar códigos para rodar na máquina do usuário. O pesquisador explica o teste básico que usou para checar a possibilidade de XSS: ele coloca a tag <video> e, dentro dela, insere um comando JavaScript que alerta sobre erros.

Os principais serviços de webmail (Gmail, Outlook.com, Yahoo Mail) não rodam vídeos incorporados no corpo de uma mensagem porque ignoram a tag <video>. Enquanto isso, o UOL Mail carrega essa tag e ainda roda o comando JavaScript dentro dela, que faz aparecer uma mensagem de erro (pois não há um endereço para o vídeo).

A vulnerabilidade está no cliente, não nos servidores do UOL Mail. Gabriel esclarece que usou apenas suas contas pessoais em todos os testes; não houve invasão de servidores nem algo do tipo.

UOL Mail

Com um pouco mais de esforço, é possível criar um ataque para ativar o redirecionamento de e-mails sem a vítima saber. Este recurso é fornecido através de um endereço no domínio config.uol.com.br, que usa um token para autenticar o usuário.

Esse token de acesso pode ser capturado ao rodar um comando JavaScript no navegador. Ele pode ficar “escondido” na tag <video> para ser executado de forma automática assim que o usuário abrir o e-mail.

A brecha poderia ser utilizada para obter informações confidenciais, como links para redefinir senha ou códigos para autenticação de dois fatores. E a solução é simples: bastaria adicionar o comando “sandbox” para inviabilizar esse ataque.

Gabriel explica que, por enquanto, a solução é não acessar o UOL Mail através da interface web: em vez disso, ele recomenda usar um cliente dedicado como o Outlook via IMAP, que não vai rodar os comandos JavaScript que permitem roubar o token. Claro, também é possível migrar para outro serviço, como Gmail ou Outlook.com.

Nota de transparência: o Tecnoblog é um parceiro de conteúdo do UOL. No entanto, nosso conteúdo permanece independente, não estando sujeito a influências externas na equipe editorial.

Comentários da Comunidade

Participe da discussão
9 usuários participando

Os mais notáveis

Comentários com a maior pontuação

Matheus Alexandre (@matheusalexandre)

Falha gravíssima! Lembrei que tenho uma conta lá, felizmente não a uso pra nada importante.

² (@centauro)

Parece que eles deveriam mudar essa frase.
E sério, falar que backup de mensagens e anexos, acesso remoto via IMAP e POP3, antispam automático, adicionar contas externas e “Redirecionamento, autorresposta, filtros” são “recursos avançados” é triste.

Alberto Roberto (@ComentarioMilGrau)

O problema Tecnoblog é que, além do UOL não ter resolvido o problema, clientes do BOL (e-mail gratuito do UOL) não terá mais acesso gratuito aos programas citados, sendo necessário pagar para ter acesso a estes clientes. Segue a mensagem abaixo:

“O acesso ao BOL Mail através de aplicativos e programas de e-mail não será mais gratuito. Você só conseguirá acessá-lo gratuitamente pelo webmail.”

Ou seja, a menos que eles não resolvam o problema vc obrigatoriamente terá que continuar acessando via site ou mobile mail sendo vulnerável a ataques. Recomendo que o pessoal migrem suas contas UOL e BOL e sites e contas cadastradas nesses e-mails para outros como Gmail, Outlook…

@ksio89

Você me fez lembrar de quando o Ibest Mail passou a cobrar pelo serviço, meus pais tinham conta de email há anos, acabei criando conta no Gmail pra eles.

John Smith (@john)

Eu queria entender quem é o público desse tipo de serviço de e-mail.

@ksio89

Meus pais e usuários idosos em geral, que criaram conta de email lá no tempo da internet discada, em geral em portais dos primórdios da internet brasileira como IG, Ibest, UOL, BOL, SOL, ZAZ/Terra etc.

John Smith (@john)

É, eu esperava isso.

João M. (@RonDamon)

Nossa, nem sabia que ainda existia. Lembro de ter um e-mail UOL quando assinei o discador iTelefonica em meados de 2000-2008 (sim, só tinha discada nessa época aqui).

Felipe Silva (@Felipe_Silva)

Minha mãe ainda paga por uma conta do Terra (questões profissionais) que é redirecionada para o gmail.
Pessoal que usava email de forma profissional antes do gmail costumam usar esses provedores ainda.