Google ha corregido una vulnerabilidad en el sistema de reinicio de la contraseña de Gmail que podría permitir a un atacante engañar a cualquier usuario de tal forma que su contraseña fuera sustraída.
El problema, descubierto por Oren Hafif, ya ha sido corregido por Google y consiste en una inteligente y elaborada combinación de técnicas (XSS, CSRF, phishing dirigido). Oren describe extensamente en su blog su investigación, la forma de llevar a cabo un ataque exitoso y ha realizado un vídeo de cómo funciona el proceso.
El proceso incluye un «spear-phishing” o phishing dirigido con un objetivo concreto, procedente de Google, pero el enlace lleva a un sitio controlado por el atacante. Pero de tal forma que el usuario ni siquiera se de cuenta, ya que el sitio realmente realiza una petición en sitios cruzados («cross-site request fogery» o CSRF), con el lanzamiento de un cross-site scripting (XSS) que engaña a Google para que crea que el usuario está solicitando el reestablecimiento de su contraseña. Como si realmente tuviera problemas para acceder al servicio.
Tras ello el usuario va a un sitio https de Google.com auténtico. Lo cual hace creer al usuario que todo es correcto.
Tras lo cual la contraseña pasará a estar en poder del atacante.
Una vez más se confirma la gravedad de los fallos de cross-site scripting y CSRF, como ya dijimos no hay que descartar su importancia.
Oren señala y destaca la rapidez de respuesta del equipo de seguridad de Google, que en tan solo 10 días tras su reporte ya había corregido el problema.
Más información:
Google Account Recovery Vulnerability
Antonio Ropero
Twitter: @aropero
