Фахівці з компанії Information Security Research Team (Insert) повідомили про виявлення в поштовій системі Gmail уразливості, яка перетворює сервери, обслуговуючі email-трафік, в розсилальників спаму. Виявлена дірка дозволяє реалізувати класичну атаку типу man-in-the-middle, яка надає потенційному спамеру можливість розсилати тисячі електронних повідомлень через SMTP-сервери Google без ризику бути виявленим.

"Даний метод дозволяє обходити як систему виявлення шахрайства, так і існуючий ліміт на 500 адрес у разі множинної відправки листів. У теорії уразливість дозволяє розсилати як завгодно багато листів", - говорять в Insert.

Як пояснили в компанії, уразливість криється в можливості атакуючого обходити білі/черні списки поштових фільтрів, відправляючи повідомлення SMTP-серверам безпосередньо. На сьогодні система поштової ретрасляції Google працює відкрито, але для того, щоб пропустити повідомлення через неї, необхідно, щоб воно (повідомлення) пройшло систему верифікації.

"Тестовий експлоїт дозволив нам розіслати за раз з одного аккаунта   до 4000 поштових повідомлень, що в 8 разів більше офіційного ліміту", - говорять дослідники.

Додаткова небезпека, пов'язана з компрометацією системи Gmail, криється і для користувачів інших поштових систем, наприклад Hotmail або Yahoo Mail, оскільки антиспамові фільтри, що працюють на рівні ip-адрес, в цих системах мають довірчі відношення з поштовиками Google.

"під час експерименту ми спробували здійснити масову розсилку декількох тисяч повідомлень з пробного комп'ютера, який був занесений в чорний список Yahoo і Hotmail. Дана операція не увінчалася успіхом. Той же трюк був виконаний і через SMTP-сервери Google, в даному випадку MX-сервери Yahoo і Hotmail виявилися відкритими", - розповідають в Insert.