Un fallo de Gmail e Inbox permite robar dinero de PayPal en Android

Software

Pagar con el móvil es algo que hacemos cada vez más de nosotros. A su vez, el email se mira casi siempre desde el móvil en la mayoría de casos gracias a las notificaciones. Por desgracia, las aplicaciones de email no son totalmente seguras, y una nueva vulnerabilidad permite engañarte con respecto al email que al que le vas a enviar un mensaje o dinero a través de PayPal.

Spoofing en aplicaciones de correo: un fallo pendiente de arreglar

Algo similar ocurrió hace dos meses, cuando se descubrió que un fallo permitía a gente enviar enlaces de “mailto” a usuarios que suplantaban la identidad del verdadero receptor del email. Así, los usuarios afectados podían verse engañados al enviar dinero a una dirección de PayPal, enviándolo en su lugar a otra sin ni siquiera saber cuál es la dirección del receptor final, ya que lo que se muestra al usuario es el “nombre” en lugar de la dirección real que hay detrás.

spoofing correo gmail

Ahora, Eli Grey, el investigador que descubrió este primer fallo, ha descubierto otra vulnerabilidad similar que permite engañar a la app de PayPal. En este caso, los usuarios deben abrir un enlace que activa el selector de aplicaciones por defecto de Android. En una de esas opciones aparece PayPal, donde se mostrarán opciones para pagar al usuario desde el email.

Normalmente, en PayPal te muestra en la parte de arriba el email al que vas a mandar el dinero. Sin embargo, con la vulnerabilidad se muestra el email falso en lugar del email real del estafador. A través de este enlace se puede hacer la prueba de cómo, si lo pulsamos en Android y abrimos con Gmail o Inbox, nos aparece el email de donations@unicef.org, pero si dejamos pulsado se nos desvelará el email real que hay detrás. En el caso de PayPal esto no se puede hacer, mostrando sólo el email suplantado.

PayPal dice que no lo va a arreglar porque no es fallo suyo

Eli Grey se comunicó con PayPal, y le dijeron que no van a arreglar el fallo porque esto no es una vulnerabilidad de PayPal, sino que afirman que se trata de “ingeniería social para cometer fraude”, aunque en realidad ellos sí podrían hacer algo por evitarlo. El fallo afecta a una gran variedad de aplicaciones de correo, entre las que se incluye la de macOS, o las aplicaciones de mensajería para Android como Gmail, Inbox, Outlook o el cliente de Email de Samsung.

En Inbox y en ordenadores este fallo no ocurre, ya que se muestra el nombre del destinatario con la dirección de correo electrónico a su derecha. Esperemos que el resto de empresas sean conscientes de la gravedad de este problema y lo arreglen. De momento, lo único que podemos hacer es no utilizar ningún enlace para realizar pagos ni para enviar emails importantes. Aseguraos siempre de introducir la dirección de correo a mano o que sea de vuestra libreta de Contactos.

Escrito por Alberto García

Fuente > xda