Google меняет ссылки в отправленных письмах при их скачивании по IMAP

Пользователь G Suite Джеффри Пол обнаружил, что URL-адреса во входящей электронной почте изменяются службой Google при получении писем через протокол доступа к сообщениям в Интернете (IMAP).

Таким образом, пользователи IMAP не могут видеть исходное письмо без входа в веб-интерфейс.
Фактически, Google редактирует тело письма до того, как оно достигнет пользователя. Это означает, что затронуты даже те, кто использует внешние клиенты электронной почты, так как у них нет возможности получить доступ к исходнику отправленного письма.

Некоторые пользователи усомнились в том, что такое редактирование возможно, заподозрив, что оно происходит только в приложении Gmail или через веб-клиент.

Однако источник в Google подтвердил, что новая функция развертывается для клиентов G Suite и при желании может быть отключена.

Официальные представители Google не дают никаких комментариев и отправляют пользователей на справочную страницу по данной теме. Там говорится, что целью компании является попытка предотвратить фишинг с помощью службы перенаправления Google, включающей средство проверки ссылок.

Но для многих принуждение перейти на сервер Google для просмотра исходного URL-адреса является вопиющим нарушением конфиденциальности и проблемой безопасности при загрузке. Отмечается, что такое вмешательство позволяет поисковому гиганту еще больше расширить свою цепочку отслеживания кликов вплоть до частных бесед по электронной почте.

Кроме того, редактирование делает нечитаемыми криптографически подписанные сообщения, например, использующие PGP или GPG, поскольку содержимое тела изменяется в процессе.

В FAQ содержится намек компании на то, что это часть A/B-тестирования, и оно применяется не ко всем аккаунтам. Однако пользователей никак не предупредили о развертывании функции.



В конце 2019 года Google предупредила пользователей G Suite о том, что с 15 февраля 2021 года авторизация в Gmail и других продуктах будет работать только через OAuth. Для IMAP-авторизации разработчикам предложили использовать способ авторизации под названием SASL XOAUTH2. Однако стандартное расширение PHP IMAP не способно авторизовываться по предлагаемому Google алгоритму.

См. также:

• «Gotta go fast. Быстрая синхронизация писем по IMAP»
• «JMAP — открытый протокол заменит IMAP при обмене электронными письмами»