Una vulnerabilidad en Gmail que Google prefiere ignorar

Un informático español publica cómo explotar un agujero de seguridad que permite modificar la clave de acceso de un usuario sin su consentimiento, tras ver cómo Google prefiere mirar para otro lado.

Vicente Aguilera, de ISecAuditors, ha decidido publicar cómo aprovechar un agujero de seguridad que encontró en Gmail para cambiar la contraseña de un usuario sin su consentimiento, con el consecuente peligro de robo de identidad y acceso a información confidencial que eso conlleva.

Aguilera asegura que informó a Google el 1 de agosto de 2007 y, tras una respuesta solicitando información adicional para analizar el problema y otra 15 días más tarde para informar que estaban trabajando en solucionarlo, el buscador no volvió a contactar con él hasta cinco meses después. El 18 de enero, Google contestó a uno de sus correos (en los que solicitaba información sobre el avance del parche para corregir el problema) indicando que el equipo de seguridad de Google no tenía pensado hacer modificaciones al respecto. “Consideramos estos argumentos insuficientes”, dijeron. Tras nuevos intentos de contacto para exigir un arreglo del problema, ayer decidió hacerlo público.

Como explica el propio informático, se trata de una vulnerabilidad del tipo CSRF, que permitiría a un atacante modificar la contraseña de un usuario de Gmail sin su conocimiento.

Según Aguilera, el único modo para autentificar el usuario es mediante una cookie que es enviada automáticamente por el navegador en cada solicitud. Un atacante puede crear una página que incluye las solicitudes de la funcionalidad de Gmail de "Cambiar contraseña " y modificar las contraseñas de los usuarios quienes, siendo autorizados, visitarían la página del atacante.

Autor: Vunet.es

Área Nuevas Tecnologías de la Comunicación y la Información
Instituto Europeo Campus Stellae
Web: www.campus-stellae.com
e-mail: info@campus-stellae.com
Teléfono: +0034 981940809

No hay comentarios: