Luka w Gmail została opisana w raporcie przygotowanym przez INSERT. Specjaliści nie tylko opisali lukę, ale także stworzyli kod proof of concept (demonstrujący atak) oraz przeprowadzili we własnym zakresie udaną, masową wysyłkę poczty, która trafiła do adresatów.

Wykorzystanie luki nie wymaga żadnych specjalnych uprawnień. Pozwala ono również na ominięcie dwóch zabezpieczeń. Po pierwsze możliwe jest wysłanie poczty do więcej niż 500 nadawców bez ryzyka wykrycia masowej wysyłki. Po drugie – można ominąć zabezpieczenia Google, które zazwyczaj chronią przed forwardowaniem wiadomości od spamerów.

Specjalistom z INSERT udało się wykorzystać lukę i wysłać spamowe wiadomości do 4000 osób. przeciętna szybkość wysyłania wynosiła 11 wiadomości na minutę. Gdyby z luki korzystali spamerzy, mogliby wykorzystać kilka kont osiągając znacznie lepsze wyniki.

Szczególnie ważne jednak to, że wysyłanie spamu przez serwery Google gwarantuje dość dużą skuteczność. Wynika to z faktu, że dostawcy poczty nierzadko stosują "hierarchię zaufania". E-maile od pewnych dostawców są z góry traktowane lepiej, niż wiadomości wysłane z rzadziej spotykanych adresów (takich jak np. janek@wygraleskase.com). E-maile przesłane przez SMTP Google traktowane są jako zaufane.

Ekipa INSERT przekonała się, że owa hierarchia zaufania po prostu ułatwia spamowanie. W ramach testu wysłano spamowe e-maile na skrzynki Yahoo i Hotmail. INSERT korzystało zarówno z własnych systemów wysyłki (z numerem IP obecnym na czarnych listach) oraz z systemu Google. Okazało się, że wiadomości pochodzące z serwerów Google niemal zawsze trafiały do adresatów.

Google nie skomentowało jeszcze raportu, ale z pewnością zajmie się łataniem luki. Nie wiadomo natomiast czy ktokolwiek przemyśli kwestię hierarchii zaufania i postara się ulepszyć to rozwiązanie.

Nie jest to pierwszy raz, kiedy narzędzia od Google są postrzegane jako zagrożenie. Spamerzy korzystali już w przeszłości z kalendarza Google.