Google ha corregido una vulnerabilidad en el sistema de reinicio de la contraseña de Gmail que podría permitir a un atacante engañar a cualquier usuario de tal forma que su contraseña fuera sustraída.
El problema, descubierto por Oren Hafif, ya ha sido corregido por Google y consiste en una inteligente y elaborada combinación de técnicas (XSS, CSRF, phishing dirigido). Oren describe extensamente en su blog su investigación, la forma de llevar a cabo un ataque exitoso y ha realizado un vídeo de cómo funciona el proceso.
El proceso incluye un «spear-phishing” o phishing dirigido con un objetivo concreto, procedente de Google, pero el enlace lleva a un sitio controlado por el atacante. Pero de tal forma que el usuario ni siquiera se de cuenta, ya que el sitio realmente realiza una petición en sitios cruzados («cross-site request fogery» o CSRF), con el lanzamiento de un cross-site scripting (XSS) que engaña a Google para que crea que el usuario está solicitando el reestablecimiento de su contraseña. Como si realmente tuviera problemas para acceder al servicio.
Tras ello el usuario va a un sitio https de Google.com auténtico. Lo cual hace creer al usuario que todo es correcto.
Una vez más se confirma la gravedad de los fallos de cross-site scripting y CSRF, como ya dijimos no hay que descartar su importancia.
Oren señala y destaca la rapidez de respuesta del equipo de seguridad de Google, que en tan solo 10 días tras su reporte ya había corregido el problema.
Más información:
Google Account Recovery Vulnerability
Antonio Ropero
Twitter: @aropero
superurbi dice
¿Y en que versión de Google Chrome se corrigió el problema?
Anónimo dice
Según parece en la 31.
Antonio Ropero dice
El problema estaba en Gmail, no en Chrome. El fallo era independiente del navegador que se empleara.