Vicente Aguilera, ingeniero informático de ISecAuditors, ha decidido publicar cómo aprovechar un agujero de seguridad que encontró en Gmail para cambiar la contraseña de un usuario sin su consentimiento, con el consecuente peligro de robo de identidad y acceso a información confidencial que eso conlleva.
Aguilera asegura que informó a Google el 1 de agosto de 2007 y, tras una respuesta solicitando información adicional para analizar el problema y otra 15 días más tarde para informar que estaban trabajando en solucionarlo, el buscador no volvió a contactar con él hasta cinco meses después. El 18 de enero, Google contestó a uno de sus correos (en los que solicitaba información sobre el avance del parche para corregir el problema) indicando que el equipo de seguridad de Google no tenía pensado hacer modificaciones al respecto. “Consideramos estos argumentos insuficientes”, dijeron. Tras nuevos intentos de contacto para exigir un arreglo del problema, ayer decidió hacerlo público.
Como explica el propio informático, se trata de una vulnerabilidad del tipo CSRF, que permitiría a un atacante modificar la contraseña de un usuario de Gmail sin su conocimiento.
Según Aguilera, el único modo para autentificar el usuario es mediante una cookie que es enviada automáticamente por el navegador en cada solicitud. Un atacante puede crear una página que incluye las solicitudes de la funcionalidad de Gmail de “Cambiar contraseña ” y modificar las contraseñas de los usuarios, quienes, siendo autorizados, visitarían la página del atacante.
Actualización: Google ha respondido a esta noticia indicando que tiene constancia de esta vulnerabilidad, pero no la considera “significativa” porque para explotarla con éxito sería necesario adivinar correctamente la contraseña de un usuario en el periodo de tiempo que dicho usuario estuviese visitando la website de un potencial atacante.
Además, la compañía asegura que no ha recibido ningún informe indicando que esto haya sucedido, pero a pesar de las “escasas posibilidades” existentes de obtener una contraseña válida de esta forma, seguirá trabajando para solucionarlo.
La empresa insiste en que siempre anima a sus usuarios a escoger contraseñas robustas, ayudando a seleccionarla mediante un indicador.
Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…
El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…
Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…
La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.
Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…
El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…