El problema y vulnerabilidad, descubierto por Oren Hafif, ya ha sido solucionado por Google y consiste en una inteligente y elaborada combinación de técnicas (XSS, CSRF, phishing dirigido). Oren describe extensamente en su blog su investigación, la forma de llevar a cabo un ataque …

 … exitoso y ha  realizado un vídeo de cómo funciona el proceso. 

http://www.youtube.com/watch?v=zJFuSPywWM8 
 
El proceso incluye un "spear-phishing” o phishing dirigido con un objetivo concreto, procedente de Google, pero el enlace lleva a un sitio controlado por el atacante. Pero de tal forma que el usuario ni siquiera se de cuenta, ya que el sitio realmente realiza una petición en sitios cruzados ("cross-site request fogery" o CSRF), con el lanzamiento de un cross-site scripting (XSS) que engaña a Google para que crea que el usuario está solicitando el reestablecimiento de su contraseña. Como si realmente tuviera problemas para acceder al servicio. 
 
http://3.bp.blogspot.com/-w-px7k-92P4/Uo_GRYaxBCI/AAAAAAAADAU/STEFeZeCdCw/s1600/gmail_account_1.PNG
 
Tras ello el usuario va a un sitio https de Google.com auténtico. Lo cual hace creer al usuario que todo es correcto. 
 
http://4.bp.blogspot.com/-CWeSrL_s-6Q/Uo_GwRMBWcI/AAAAAAAADAc/t7RB1YKwwhI/s1600/gmail_account_3.PNG
 
Tras lo cual la contraseña pasará a estar en poder del atacante. 
 
http://3.bp.blogspot.com/-LGsKWgDQA68/Uo_HCSwgO0I/AAAAAAAADAk/DclGLDTawRs/s1600/gmail_account_4.PNG
 
Una vez más se confirma la gravedad de los fallos de cross-site scripting y CSRF, como ya dijimos no hay que descartar su importancia. 
 
Oren señala y destaca la rapidez de respuesta del equipo de seguridad de Google, que en tan solo 10 días tras su reporte ya había corregido el problema. 
 
Opina sobre esta noticia: 
http://unaaldia.hispasec.com/2013/11/google-soluciona-una-grave.html#comments
 
Más información:
 
Google Account Recovery Vulnerability
http://www.orenh.com/2013/11/google-account-recovery-vulnerability.html

 

Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Logotipos/Imágenes/Texto MR Respectiva/s Compañía/s mencionada/s en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar