Un fallo en Google Maps permite a un atacante redirigir a los usuarios a sitios maliciosos
Hoy día la mayoría de nosotros usamos el programa Google Maps en multitud de ocasiones a lo largo del día, ya sea en nuestro PC o en los dispositivos móviles, ya que gracias a las funciones y características que nos ofrece, lo convierten en una herramienta muy versátil a la hora de viajar o localizar lugares de todo el mundo.
Sin embargo se acaba de descubrir que a través de fallo en este servicio del gigante de las búsquedas, un atacante puede redirigir nuestro tráfico web a sitios con malware sin que seamos conscientes de ello. Por tanto los usuarios habituales de Google Maps deben estar atentos, ya que estos ciberdelincuentes aprovechan una vulnerabilidad existente en el servicio de uso compartido de enlaces del propio programa, para difundir enlaces desde sitios web maliciosos.
Esto ha sido encontrado por la firma Sophos, una empresa de seguridad que afirma que en principio los ciberdelincuentes no pueden utilizar las URL oficiales de Google Maps para redirigir a los usuarios a cualquier sitio. Por el contrario, estos han explotado una vulnerabilidad de redireccionamiento que afecta al servicio «maps.app.goo.gl» para redirigir a los usuarios a sitios de phishing y malware.
Google Maps puede redirigirnos a sitios con malware
En concreto los investigadores señalaron que estos atacantes utilizan los acortadores de URLs para ocultar enlaces de malware o sitios con phishing, principalmente uno que redirige a la víctima a una página rusa que alberga una estafa relativa a dietas alimenticias. Tras esto, los enlaces maliciosos se comparten a través de Google Maps. Además, dado que la función de uso compartido de URLs de Google Maps no es un producto oficial, no dispone de un mecanismo para informar de enlaces fraudulentos o URLs falsas a los potenciales usuarios afectados.
Así, Mark Stockley de Sophos afirma que “entre el acortador de URLs legítimo de Google en el que probablemente confiaríamos, y la URL rusa en la que probablemente no confiaríamos, la cadena de redireccionamiento nos manda a ese sitio malicioso a través de otra URL de Google en Maps». Para evitar este abuso, el código que realiza la redirección solo debe enviar a los usuarios a URLs que coincidan con un patrón específico o una lista de enlaces que se consideren correctos.
Al mismo tiempo hay que tener en cuenta que esta vulnerabilidad no es nueva, ya que en el mes de septiembre del pasado año 2017, otro investigador de seguridad descubrió un fallo de seguridad similar que afectaba igualmente al sitio web “maps.app.goo.gl”, y a los usuarios del mismo.