Descobren un burato de seguridade en Gmail do que Google non quere dar conta

Vicente Aguilera, un enxeñeiro informático da empresa ISecAuditors, vén de publicar un artigo no que mostra como se pode aproveitar un burato de seguridade existente en Gmail, para cambiar o contrasinal dun usuario sen o seu consentimento, co consecuente perigo de roubo de identidade e acceso á información confidencial dos usuarios da conta de correo de Google.
Aguilera asegura ter informado a Google deste fallo de seguridade no seu servizo de correo electrónico, xa o pasado 1 de agosto de 2007 e obter como resposta, “a solicitude de información adicional para analizar o problema”.
Unha vez enviados os datos solicitados por parte de Google, o enxeñeiro informático volve a recibir, 15 días máis tarde, unha resposta do buscador na que lle aseguran estar a traballar para solucionalo, máis non volve a obter máis novas do caso ata cinco meses despois.
O 18 de xaneiro, Google indícalle a Aguillera, segundo palabras deste, “que non ten pensado facer modificacións para emendar o erro debido a que consideran insuficientes os argumentos achegados”; é entón cando, logo de varios intentos máis para esixir o arranxo do problema, Aguilera decide facelo público.
O fallo, segundo explica o empregado de ISecAuditors, trátase dunha vulnerabilidade do tipo CSRF, que lle permite aos “atacantes” modificar o contrasinal dos usuarios de Gmail sen o seu coñecemento.
Segundo afirma, o único xeito para autentificar ao usuario é “mediante unha cookie que é enviada automáticamente polo navegador en cada solicitude”. O hacker, asegura, “pode crear unha páxina que inclúe as solicitudes da funcionalidade de Gmail de Cambiar contrasinal e modificar os contrasinais dos usuarios que, sendo autorizados, visitarían a páxina do atacante”.