また、このバグを修正するのに 137 日かかることにも注意してください。当初、同社は開示期限を過ぎてパッチを遅らせた。Googleは今年の9月にこのバグを修正する予定でした。しかし、水曜日に、アリソン・フセインはこのバグの詳細を発表し、Googleのエンジニアは考えを変えなければなりませんでした。フセインはまた、概念実証の悪用コードを公開しました。同社は9月にこの問題の修正を行う予定でしたが、Husainのブログ記事が公開されてから7時間以内にこのバグを利用する攻撃をブロックするための緩和策をGoogleが展開しました。ただし、最終パッチは 9 月に展開されます。G Suite と Gmail のユーザーは、同社がサーバー側でパッチを展開しているため、変更を加える必要はありません。
セキュリティ研究者によると、このバグは、DMARCまたはSPF規格を使用してブロックすることができる古典的な電子メールのなりすましと同一ではありませんでした。Husain氏はブログ記事で、このバグはGoogle固有のバグであり、攻撃者はSPFやDMARCなどの最も制限的なルールを通過しながら、なりすましメールを送信できるということです。ブログ記事によると、なりすましメールはGoogleのバックエンドから発信されているため、通常のスパムフィルタによってキャッチされる可能性は低かったという。
アリソン・フセインは、G SuiteとGmailサービスを有効にするためのGoogleのバックエンド構造により、脅威アクターが受信メールをリダイレクトし、「エンベロープ受信者の変更」機能を使用して人物の身元を偽装できるようになる可能性があることを発見しました。一度悪用されると、アリソン・フセインは、このセキュリティバグがカスタムルーティングルールを使用してG SuiteとGmailバックエンドのゲートウェイになりすましメールを送信する可能性があると説明しました。パッチを適用していないままにしておけば、このセキュリティバグにより、スパム送信者が標的型ハッキングを設計することができ、マルウェアの配布業者やBEC詐欺師によって広く採用されている可能性があります。バグが公開される前に、同社はこの問題にもっと注意を払い、修正する必要があります。