Google ignora una vulnerabilidad de seguridad en Gmail descubierta por un español en 2007

Escrito por Hugo Gómez
Correo
7

Una vulnerabilidad de seguridad  en Gmail descubierta por el español Vicente Aguilera y que permite cambiar la contraseña de cuentas de correo Gmail sin que su propietario se entere, fue reportada por este en 2007 a Google  y todavía no ha sido solucionada.

Esta vulnerabilidad de seguridad que puede permitir el robo de cuentas Gmail cambiando la contraseña de esta se trata de una vulnerabilidad de tipo CSRF (Cross Site Request Forgery) y aunque fue reportada a Google en 2007, este ha pasado del tema argumentado que esta vulnerabilidad le parece difícil de explotar.

Ahora el español Vicente Aguilera de ISecAuditors ha publicado una descripción y prueba de concepto que podéis leer aquí.

Ahora imagino que a Google le entrarán las prisas y solucionará esa vulnerabilidad

Fuente: Kriptopolis

 

Compártelo. ¡Gracias!
Continúa leyendo

Comentarios

7 comentarios
  1. calco 04 Mar, 09 13:00

    Parece suficientemente importante como para que Google tomara nota no?

    0
  2. Messi 04 Mar, 09 13:55

    Realmente noe s una vulnerabilidad, tal y como ya han puesto en kriptopolis copio y pego la info de un usuario (anonimo) de us comentarios que explica la vulnerabilidad y el porque ni siquiera esta en la lista de cosas a solucionar…

    Vamos, una vez más, a intentar esclarecer al máximo la “supuesta vulnerabilidad”, que como el mismo autor comenta ha sido “rechazada 2 veces” para su publicación en Bugtraq y ha tenido que ser publicada en una lista sin moderación (full-disclosure).

    1º ¿Existe un XSRF en Gmail?

    No. Un XSRF sólamente existe cuando no hay ningún mecanismo de verificación que permita determinar que una acción concreta ha sido realizada por el usuario legítimo.

    En este caso concreto, y como se ven el vector de ataque:

    img src=”https://www.google.com/accounts/UpdatePasswd?service=mail&hl=en&group1=OldPasswd&OldPasswd=PASSWORD1&Passwd=abc123&PasswdAgain=abc123&p=&save=Save”

    Es necesario conocer (o adivinar) el password de la cuenta para que el ataque sea posible.

    Por tanto, existe un mecanismo de control que verifica que la acción ha sido desempeñada por un usuario legítimo: su password.

    2º ¿Es el mejor mecanismo para evitar XSRF y controlar la sesión?

    No. El mecanismo ideal para evitar XSRF sería un ID aleatorio de un sólo uso y 16 bytes de longitud, activado cuando el usuario legítimo invoque la acción EditPasswd y verificado por la acción UpdatePasswd.

    3º ¿Esto constituye una vulnerabilidad?

    De tipo XSRF no. Es una vulnerabilidad que como mucho, podrá ser catalogada de “debilidad menor en el control de sesión” y su impacto desde luego es muy bajo (cuando no informativo).

    4º ¿Esto debe preocupar al usuario de GMAIL?

    No. La longitud mínima de una contraseña de GMAIL es de 8 caracteres. Y aunque insisto no es el mejor sistema, la posibilidad de modificar la contraseña en este tipo de ataque es de 1 sobre 281474976710656.

    Paralelamente, el vector de ataque permitiría en caso de éxito, modificar la contraseña de un usuario .. pero sin conocer de qué usuario ha sido modificada.

    5º Conclusión

    Esta “vulnerabilidad” de impacto muy bajo, únicamente permite un ataque en función de la robustez de la contraseña (1 sobre 281474976710656 de acertar en cada ataque).

    Además de ello, al ser un ataque pasivo, el usuario debe visitar una web maliciosa que lo realice.

    La única “ventaja” de este ataque sobre probar al azar usuarios y contraseñas, es que no es necesario conocer el usuario para realizar el crackeo.

    Por otra parte … y debido a que no se conoce el usuario sobre el que en caso de éxito se ha modificado la contraseña (ya que no forma parte del vector de ataque ..) su utilidad es nula en un escenario real.

    ————————————————————————————————————-

    0
  3. AlucarD 04 Mar, 09 15:13

    A mi me cambiaron la contraseña en mi cuenta *********@gmail.com,queria recuperarla,pero no hubo manera,y tuve que crearme otra (menos mal que la usaba solo para registrarme en sitios)…

    0
  4. KuBe 04 Mar, 09 15:56

    #AlucarD.
    y como sabes q no tenias un sniffer en la red des de donde accediste o un troyano en el PC?
    Hay muchas formas de conseguir una contraseña y raras veces es problema del servidor de correo.

    0
  5. DeTeRnO 04 Mar, 09 19:33

    Increíble, me parece muy fuerte que una empresa tan seria (para según que cosas), ignore algo como esto, es penoso..

    0
  6. KuBe 04 Mar, 09 21:31

    @DeTeRnO

    y qién va a saber más de seguridad y a qién le va a interesar más estar seguros? los ingenieros de google o Aguilera?

    0
  7. LinuxManiaco 05 Mar, 09 0:54

    Señor aguilera me parece muy bien lo que ha hecho pero google cuenta con Hacker y digo hackers reales pagados por esta empresa que tiene un valor de 25 billones y la cual sabe de este ataque y otros muchos desde hace tiempo

    Como se ha incluido en la descripcion incluyendo el vector de ataque , la posibilidad de exito es ridicula por no decir inexistente

    0