Descobren un burato de seguridade en Gmail do que Google non quere dar conta
xoves, 5 de marzo do 2009
Vicente Aguilera, un enxeñeiro informático da empresa ISecAuditors,
vén de publicar un
artigo no que mostra como se pode aproveitar un burato de seguridade
existente en Gmail, para cambiar o
contrasinal dun usuario sen o seu consentimento, co consecuente perigo de roubo
de identidade e acceso á información confidencial dos usuarios da conta de
correo de Google.
Aguilera asegura ter informado a Google deste fallo de
seguridade no seu servizo de correo electrónico, xa o pasado 1 de agosto de
2007 e obter como resposta, “a solicitude
de información adicional para analizar o problema”.
Unha vez enviados os datos solicitados por parte de Google, o
enxeñeiro informático volve a recibir, 15 días máis tarde, unha resposta do
buscador na que lle aseguran estar a traballar para solucionalo, máis non volve
a obter máis novas do caso ata cinco meses despois.
O 18 de xaneiro, Google indícalle a Aguillera, segundo
palabras deste, “que non ten pensado facer
modificacións para emendar o erro debido a que consideran insuficientes os
argumentos achegados”; é entón cando, logo de varios intentos máis para
esixir o arranxo do problema, Aguilera decide facelo público.
O fallo, segundo explica o empregado de ISecAuditors,
trátase dunha vulnerabilidade do tipo CSRF, que lle permite aos “atacantes” modificar o contrasinal dos
usuarios de Gmail sen o seu coñecemento.
Segundo afirma, o único xeito para autentificar ao usuario é
“mediante unha cookie que é enviada
automáticamente polo navegador en cada solicitude”. O hacker, asegura, “pode crear
unha páxina que inclúe as solicitudes da funcionalidade de Gmail de Cambiar
contrasinal e modificar os contrasinais dos usuarios que, sendo autorizados,
visitarían a páxina do atacante”.