Exclusivo: UOL tem falha grave de segurança no e-mail desde 2018

O pesquisador de segurança Gabriel Pato revela com exclusividade ao Tecnoblog que encontrou uma brecha no UOL Mail: se o usuário abrir um e-mail malicioso que parece estar vazio, o invasor poderá redirecionar todas as mensagens para outra conta, incluindo pedidos de recuperação de senha. O problema foi relatado em 2018, mas permanece sem ser corrigido; a empresa diz que “não há qualquer evidência de falha”.

• Como criar um e-mail? (Gmail, Outlook, Yahoo! ou personalizado)
• Como receber e-mails de outras contas no Gmail

Basicamente, o UOL Mail permite rodar um comando JavaScript que captura o token de acesso do usuário sem que ele saiba, apenas abrindo um e-mail sem anexo. Isso pode ser usado para redirecionar as mensagens da vítima para outro endereço.

A falha está presenta na versão web e no app para iPhone do UOL Mail, assim como no BOL Mail. Ela potencialmente afetaria também o e-mail da Folha e o UOL Host Mail, oferecido para quem adquire serviços de hospedagem.

O UOL é um dos dez domínios mais visitados da web brasileira, segundo levantamento da Alexa Internet. O portal destaca o e-mail na parte superior, e cobra pelo serviço: são R$ 12,90 mensais para 25 GB na caixa de entrada mais 5 GB de backup na nuvem. O BOL Mail, por sua vez, é gratuito e oferece 6 GB de espaço (contra 15 GB do Gmail).

O Tecnoblog entrou em contato com o UOL: a empresa “informa que segue rígidos protocolos de segurança e não há qualquer evidência de falha em seu sistema de e-mails”.

Falha no UOL Mail funciona há mais de um ano

Gabriel afirma ter comunicado a falha ao UOL em outubro de 2018, quando um membro da empresa confirmou o recebimento. Alguns dias depois, ele foi informado de que a equipe de segurança estava tomando medidas para resolver a falha. No entanto, um ano e sete meses, ela continua funcionando.

O problema no UOL Mail envolve algo chamado “cross-site scripting”, ou XSS: é quando uma página da web permite injetar códigos para rodar na máquina do usuário. O pesquisador explica o teste básico que usou para checar a possibilidade de XSS: ele coloca a tag <video> e, dentro dela, insere um comando JavaScript que alerta sobre erros.

Os principais serviços de webmail (Gmail, Outlook.com, Yahoo Mail) não rodam vídeos incorporados no corpo de uma mensagem porque ignoram a tag <video>. Enquanto isso, o UOL Mail carrega essa tag e ainda roda o comando JavaScript dentro dela, que faz aparecer uma mensagem de erro (pois não há um endereço para o vídeo).

A vulnerabilidade está no cliente, não nos servidores do UOL Mail. Gabriel esclarece que usou apenas suas contas pessoais em todos os testes; não houve invasão de servidores nem algo do tipo.

Com um pouco mais de esforço, é possível criar um ataque para ativar o redirecionamento de e-mails sem a vítima saber. Este recurso é fornecido através de um endereço no domínio config.uol.com.br, que usa um token para autenticar o usuário.

Esse token de acesso pode ser capturado ao rodar um comando JavaScript no navegador. Ele pode ficar “escondido” na tag <video> para ser executado de forma automática assim que o usuário abrir o e-mail.

A brecha poderia ser utilizada para obter informações confidenciais, como links para redefinir senha ou códigos para autenticação de dois fatores. E a solução é simples: bastaria adicionar o comando “sandbox” para inviabilizar esse ataque.

Gabriel explica que, por enquanto, a solução é não acessar o UOL Mail através da interface web: em vez disso, ele recomenda usar um cliente dedicado como o Outlook via IMAP, que não vai rodar os comandos JavaScript que permitem roubar o token. Claro, também é possível migrar para outro serviço, como Gmail ou Outlook.com.

Nota de transparência: o Tecnoblog é um parceiro de conteúdo do UOL. No entanto, nosso conteúdo permanece independente, não estando sujeito a influências externas na equipe editorial.

Receba mais notícias do Tecnoblog na sua caixa de entrada

E-mail:

* ao se inscrever você aceita a nossa política de privacidade