L'application Gmail sur Android a droit au déploiement d'une nouvelle fonctionnalité de sécurité. En l'occurrence, il s'agit d'une couche supplémentaire de protection visant à éviter que des utilisateurs ne tombent dans le piège d'une attaque de phishing.

Lors d'un appui sur un lien considéré suspect dans un message, Gmail affichera un avertissement préalable qui incitera l'utilisateur à réfléchir à deux fois avant de se rendre sur un site identifié pour du phishing.

L'accès à ladite page n'est pas interdit mais l'URL complète de destination est clairement affichée. De quoi a priori identifier facilement une destination plus que douteuse. Un lien permet néanmoins de signaler un avertissement qui serait erroné.

Gmail-Android-avertissement-phishing

Hasard du calendrier, ce déploiement a été annoncé alors qu'une attaque de phishing visant des comptes Google a fait parler d'elle. Des utilisateurs de Gmail - moins de 0,1 % selon Google - ont reçu un email piégé avec un soi-disant lien pour le partage d'un document Google Docs.

Les utilisateurs pris pour cible étaient redirigés vers un service OAuth authentique de Google où une fausse application Google Docs demandait un accès à la boîte de réception de Gmail et aux contacts. Une tentative pour voler un jeton d'accès ultérieurement utilisé pour envoyer l'email de phishing à des contacts de la victime.

A priori, la nouvelle fonctionnalité de sécurité dans Gmail sur Android n'aurait pas permis de contrecarrer cette attaque que Google a annihilé au bout d'une heure en bloquant la fausse application.