Google ha corregido una vulnerabilidad en el sistema de reinicio
de la contraseña de Gmail que podría permitir a un atacante engañar
a cualquier usuario de tal forma que su contraseña fuera sustraída.
El problema, descubierto por Oren Hafif, ya ha sido corregido por Google
y consiste en una inteligente y elaborada combinación de técnicas (XSS,
CSRF, phishing dirigido). Oren describe extensamente en su blog su
investigación, la forma de llevar a cabo un ataque exitoso y ha
realizado un vídeo de cómo funciona el proceso.
http://www.youtube.com/watch?v=zJFuSPywWM8
El proceso incluye un "spear-phishing o phishing dirigido con un
objetivo concreto, procedente de Google, pero el enlace lleva a un sitio
controlado por el atacante. Pero de tal forma que el usuario ni siquiera
se de cuenta, ya que el sitio realmente realiza una petición en sitios
cruzados ("cross-site request fogery" o CSRF), con el lanzamiento de un
cross-site scripting (XSS) que engaña a Google para que crea que el
usuario está solicitando el reestablecimiento de su contraseña. Como si
realmente tuviera problemas para acceder al servicio.
http://3.bp.blogspot.com/-w-px7k-92P4/U ... ount_1.PNG
Tras ello el usuario va a un sitio https de Google.com auténtico. Lo
cual hace creer al usuario que todo es correcto.
http://4.bp.blogspot.com/-CWeSrL_s-6Q/U ... ount_3.PNG
Tras lo cual la contraseña pasará a estar en poder del atacante.
http://3.bp.blogspot.com/-LGsKWgDQA68/U ... ount_4.PNG
Una vez más se confirma la gravedad de los fallos de cross-site
scripting y CSRF, como ya dijimos no hay que descartar su importancia.
Oren señala y destaca la rapidez de respuesta del equipo de seguridad de
Google, que en tan solo 10 días tras su reporte ya había corregido el
problema.
Fuente
de la contraseña de Gmail que podría permitir a un atacante engañar
a cualquier usuario de tal forma que su contraseña fuera sustraída.
El problema, descubierto por Oren Hafif, ya ha sido corregido por Google
y consiste en una inteligente y elaborada combinación de técnicas (XSS,
CSRF, phishing dirigido). Oren describe extensamente en su blog su
investigación, la forma de llevar a cabo un ataque exitoso y ha
realizado un vídeo de cómo funciona el proceso.
http://www.youtube.com/watch?v=zJFuSPywWM8
El proceso incluye un "spear-phishing o phishing dirigido con un
objetivo concreto, procedente de Google, pero el enlace lleva a un sitio
controlado por el atacante. Pero de tal forma que el usuario ni siquiera
se de cuenta, ya que el sitio realmente realiza una petición en sitios
cruzados ("cross-site request fogery" o CSRF), con el lanzamiento de un
cross-site scripting (XSS) que engaña a Google para que crea que el
usuario está solicitando el reestablecimiento de su contraseña. Como si
realmente tuviera problemas para acceder al servicio.
http://3.bp.blogspot.com/-w-px7k-92P4/U ... ount_1.PNG
Tras ello el usuario va a un sitio https de Google.com auténtico. Lo
cual hace creer al usuario que todo es correcto.
http://4.bp.blogspot.com/-CWeSrL_s-6Q/U ... ount_3.PNG
Tras lo cual la contraseña pasará a estar en poder del atacante.
http://3.bp.blogspot.com/-LGsKWgDQA68/U ... ount_4.PNG
Una vez más se confirma la gravedad de los fallos de cross-site
scripting y CSRF, como ya dijimos no hay que descartar su importancia.
Oren señala y destaca la rapidez de respuesta del equipo de seguridad de
Google, que en tan solo 10 días tras su reporte ya había corregido el
problema.
Fuente