miércoles, 10 de febrero de 2010
Ayúdanos a crecer, haz NeoTeo tu página de inicio RegistrarseIniciar sesión

Gravísima vulnerabilidad en Gmail

Por: Lisandro Pardo  @  jueves, 05 de marzo de 2009  Nota vista 5004 veces

El servicio de correo electrónico de Google es realmente popular en estos días, con cada vez más usuarios entre sus filas, ya sean con simples cuentas hogareñas o correos destinados para actividad comercial. Sin embargo, parece que Gmail tiene actualmente una falla bastante seria. Según un ingeniero español, Gmail posee una vulnerabilidad que permitiría a un atacante cambiar la contraseña de un usuario sin que este lo sepa. Lo más preocupante de todo fue la respuesta de Google: No harán nada al respecto.

¿te interesa?
32 -2
34 votos

El ingeniero, de nombre Vicente Aguilera, tomó la decisión de hacer pública esta vulnerabilidad debido a la falta de respuestas por parte de Google. Por más que el gigante de Mountain View considere a las pruebas de Aguilera "insuficientes" como para tomar una acción, el caso debería ser estudiado más de cerca como mínimo, ya que estamos hablando de un agujero de seguridad bastante grave. El primer reporte de Aguilera sobre la vulnerabilidad fue hecho el primero de agosto del año 2007, pero debió esperar más de cinco meses por una respuesta que, al final, no fue otra cosa más que "no vamos a hacer ningún cambio".

La vulnerabilidad es conocida como "Cross-Site Request Forgery" o CSRF, también apodada "ataque de un solo clic", y consiste en que un atacante puede transmitir comandos no autorizados a una página la cual confía en un usuario determinado. El problema de Gmail está enfocado específicamente en la función de "Cambiar Contraseña". Claro que para que la vulnerabilidad funcione, esto requiere un poco de ingeniería social. El usuario debería visitar una página generada por el atacante desde el interior de una cuenta de Gmail autenticada (o sea, recibir el enlace a la página por correo), y la simple visita a esa página permite al atacante cambiar la contraseña de ese usuario (que está actualmente autenticado y en que cual Gmail "confía"), sin que se de cuenta de ello.

Alguien podría cambiar la contraseña de tu cuenta, siempre y cuando hagas clic en el lugar equivocado...

Probablemente Google no le haya prestado atención a este agujero de seguridad, debido al grado de ingeniería social que requiere, pero lo cierto es que el gigante de Mountain View debería pensar que siempre hay un despistado que hace clic en un enlace que no debe dentro de un correo electrónico. ¿Qué puede hacer el usuario final al respecto? Nada que ya no conozca. Cerrar siempre las sesiones y evitar el guardado automático de contraseñas tanto en el navegador como en la página de acceso de Gmail son pasos clásicos, mientras que evitar la carga de imágenes externas dentro de un correo también es útil. De más está decirlo, se debe evitar el spam a toda costa. Con un poco más de difusión y de atención en los medios, es probable que Google haga algo al respecto, pero hasta que eso suceda, habrá que pisar con cuidado.



« Volver a Neoteo
Enlazar esta nota:
RSS de Neoteo¿Te interesa esta nota? Suscríbete al RSS de Neoteo.
Artículo Siguiente
2009 será horrendo para la industria de PC
Artículo Anterior
Google CEO: Twitter es el "mail de los pobres"
CopyRight
Prohibida su copia total con o sin fines comerciales. Copias parciales deben citar la fuente.
RSS de Comentarios de NeoteoSuscríbete a los comentarios de este artículo.

 

URL Trackback para esta noticia:
  • Gravísima vulnerabilidad en Gmail
    Publicado: chiflame.net,  06/03/2009 18:00:35
    "El servicio de correo electrónico de Google es realmente popular en estos días, con cada vez más usuarios entre sus filas, ya sean con simples cuentas hogareñas o correos destinados para actividad comercial. Sin embargo, parece que Gmail tiene actualmente una falla bastante seria. Según un ingeniero español, Gmail posee una vulnerabilidad que permitiría a un atacante cambiar la contraseña de un usuario sin que este lo sepa. Lo más preocupante de todo fue la respuesta de Google: No harán nada al respecto...???"
  • Gravísima vulnerabilidad en Gmail
    Publicado: VuelosyHotelesGratis.com,  09/03/2009 1:30:38
    "El servicio de correo electrónico de Google es realmente popular en estos días, con cada vez más usuarios entre sus filas, ya sean con simples cuentas hogareñas o correos destinados para actividad comercial. Sin embargo, parece que Gmail tiene actualmente una falla bastante seria. Según un ingeniero español, Gmail posee una vulnerabilidad que permitiría a un atacante cambiar la contraseña de un usuario sin que este lo sepa. Lo más preocupante de todo fue la respuesta de Google: No harán nada al respecto."
Votos: 0 de 2
DJ Lenner y DS
DJ Lenner y DS
DJ Lenner y DS
05/03/2009
5:51:52
#1   Los de Google terminarán por arreglar ese fallo
     Responder 
Votos: 0 de 2
panda
panda
panda
05/03/2009
6:18:34
#2   Claro confien en Google , si supieran cuantas servicios de Google utilizo , realmente sin Google mi vida no sría tan facil, CUanta Información tengo por Google
     Responder 
Votos: 2 de 2
asdsa
asdsa
asdsa
05/03/2009
9:31:40
#3   Si confien, cuanta informacion tendra de todos google?
     Responder 
 
 
Datos  Login Registrarse
Usuario
   
Email
Website
 
Nuevo comentario:
Enviar Vista previa
.


Tags HTML permitidos: br
 

Síguenos en TwitterAgréganos a tu RSS

 

Autores


Copyright 2006-2008 NeoTeo.com   Términos de uso  Declaración de privacidad