El investigador de seguridad Eli Grey encontró un error de diseño en la bandeja de entrada de la app de Gmail para Android que permitía a un hacker o persona malintencionada enviar enlaces que podrían engañar a los usuarios de dicha app. En concreto, el error sería aprovechado para hacer que las personas envíen correos electrónicos a una dirección diferente a la que desean.
Ahora, el mismo investigador de seguridad ha informado sobre un error de diseño similar que involucra la suplantación de destinatario en la aplicación móvil de PayPal.
On an Android device with PayPal installed: Clear your default email app, follow this link, and select "Open with PayPal": https://t.co/JCEIWVvs5Y
The PayPal app will say that you're sending money to donate@unicef.org but you're actually sending money to a fake phishing address. pic.twitter.com/H0DSaLNXqu
— Eli Grey (@sephr) July 13, 2018
Este error implica que los usuarios hagan clic sobre un enlace que abrirá el selector de apps predeterminado de Android, y luego permitirá seleccionar PayPal para realizar un pago a un usuario de correo electrónico. Al abrir la app de pagos electrónicos, se mostrará la dirección a la que el usuario desea enviar el correo, sin embargo, la dirección final no coincide con el destinatario real.
En el caso del análisis que realizó Grey, el enlace falso mostró la dirección donations@unicef.org, que fue suplantada por otra dirección llamada scammer@spoofing.net. De hecho, el investigador habilitó un enlace para que los usuarios prueben por sí mismos el error, y advirtió que no enviaran dinero a dicha dirección.
Asimismo, compartió una captura de pantalla donde se aprecia la dirección real al momento de enviar el dinero en PayPal, sin embargo, se trata de un correo falso. Para realizar donativos a la UNIFEC, este es su enlace oficial.
Se trata de una situación preocupante para aquellos usuarios que reciben enlaces falsos a través del correo electrónico. Eli Grey reveló el fallo a PayPal y la compañía afirmó que no se trata de un error informático en sí, sino más bien una ‘estafa de ingeniería social’, lo que sugiere que la compañía no asume la responsabilidad para solucionar el problema.
Este fallo también afecta a otras apps de correo electrónico, como la predeterminada en macOS, y otras apps de correo de Android como Outlook, la app de Samsung y el propio Gmail. Se trata de un error de diseño, que al menos Google habría corregido en mayo pasado, y se espera que las demás apps hagan lo propio en los próximos días.
