Google ha corregido una vulnerabilidad en el sistema de reinicio de la contraseña de Gmail que podría permitir a un atacante engañar a cualquier usuario de tal forma que su contraseña fuera sustraída.
El problema, descubierto por Oren Hafif, ya ha sido corregido por Google y consiste en una inteligente y elaborada combinación de técnicas (XSS, CSRF, phishing dirigido.Detalles de la vulnerabilidad
- El fallo, descubierto por el investigador de seguridad, fue explotado mediante el envío de un correo electrónico falso que recuerda al usuario de Gmail que es el momento de restablecer su contraseña. Al hacer clic en el enlace envía al usuario a una página web que se presenta como una página de Google y solicita al usuario una contraseña nueva. Ese sitio pirata informático controlado también inicia una solicitud de ataque de falsificación de cross-site a través de XSS que los trucos de Google para que entreguen cookie de sesión de la víctima.
- El sitio falso puede cambiar al usuario a una página web segura Google, pero en este punto, el atacante habrá cosechado el nombre de usuario, contraseña nueva y la cookie de sesión de la cuenta. Una vez dentro, también conseguirían rienda suelta a cambiar las contraseñas de otros servicios asociados con esa dirección de correo electrónico Gmail.
- Hafif señala y destaca la rapidez de respuesta del equipo de seguridad de Google, que en tan solo 10 días tras su reporte ya había corregido el problema.
Más información:
- Una al día ( 24/ 11/13) http://unaaldia.hispasec.com/2013/11/salto-de-restricciones-de-seguridad-en.html
- Google Account Recovery Vulnerability http://www.orenh.com/2013/11/google-account-recovery-vulnerability.html
- Vídeo de cómo funciona el proceso http://www.youtube.com/watch?v=zJFuSPywWM8
Fuente: Hispasec
