Tema: Grave vulnerabilidad en Gmail permite el robo de contraseñas

RicardoDiaz · 07/03/2009, 00:10

Una vulnerabilidad conocida en Gmail, permite cambiar la contraseña de acceso sin consentimiento de su dueño. Ésta, detectada e informada en agosto de 2007, no ha sido todavía subsanada porque la propia empresa responsable, Google, considera que es de difícil uso.

Se trata de una vulnerabilidad del tipo CSRF, que habilitaría a un atacante a modificar la contraseña de un usuario de Gmail sin su conocimiento.

A la vista de ello, el descubridor de la vulnerabilidad, Vicente Aguilera, de ISecAuditors, ha publicado una descripción y prueba de concepto de la misma.

http://www.noticias3d.com/noticia.asp?idnoticia=31647

07/03/2009, 19:29

1. An attacker create a web page "csrf-attack.html" that realize many
HTTP GET requests to the "Change Password" functionality.
[…]
2. A user authenticated in GMail visit the "csrf-attack.html" page
controlled by the attacker.

For example, the attacker sends a mail to the victim (a GMail account)
and provokes that the victim visits his page (social engineering). So,
the attacker insures himself that the victim is authenticated.

3. The password cracking is executed transparently to the victim.

Que la gente sea gilipollas y abra e-mails de desconocidos, ejecute archivos adjuntos a dichos e-mails y/o pinche en enlaces indebidos es una gran brecha de seguridad en la mente del ser humano, no en Gmail ni en ningún sistema electrónico/informático.

07/03/2009, 22:49

Iniciado por txakurra

Que la gente sea gilipollas y abra e-mails de desconocidos, ejecute archivos adjuntos a dichos e-mails y/o pinche en enlaces indebidos es una gran brecha de seguridad en la mente del ser humano, no en Gmail ni en ningún sistema electrónico/informático.

También es curioso que cuando hay una vulnerabilidad similar en Windows es culpa de Microsoft, no es culpa de la falta de experiencia del usuario. Como cambiamos el chip cuando "conviene".

De todos modos los de Google se lavan las manos con la excusa de que es beta y es "gratuito" y eso que lleva ya 5 años en beta, a ver si sale de beta algún día, aunque visto lo visto les conviene más que sea "beta" porque se cae cada dos por tres.

08/03/2009, 11:42

Buenas

Ya le vale a Google, están hechos unos vagos. De todas formas sí que es verdad lo que dice txakurra, peligros de este tipo siempre van a existir a no ser que, o bien la gente utilice la lógica, o bien se creen sistemas de ultra-seguridad a prueba de tontos.

Y tranqui andrei030 que no es cuestión XD lo de Microsoft es un mundo aparte. Además, aquí Google no es la panacea de internet (como cree mucha gente), tiene sus errores como cualquier otra compañía, incluida Microsoft, y a veces no hace las cosas como debe. Pero bueno, lleva un buen camino al menos.

Un saludo

08/03/2009, 14:44

lagartyjo tampoco es que sean mundos tan aparte, solo decía que es curioso que cuando los "buenos" tienen un fallo se les perdona y se buscan explicaciones para perdonarlos y cuando los "malos" tienen un fallo se les busca hasta el ultimo pecado y si hace falta se inventan y de paso se llega a insultar a sus usuarios (si, me han insultado por decir que Vista es buen sistema operativo (en Internet, como no)).

08/03/2009, 22:38

No, si ya, ya se que te empeñas en defender Windows, y haces bien si te gusta y tienes razones para ello (que las tienes). Pero es un hecho el odio masivo que se le tiene a Puertas, y no es inventado. Su compañía es un monstruo, como tantos otros que existen (Telefónica por ejemplo) pero las cotas a las que ha llegado Microsoft a lo largo de su historia han ido, en mi opinión, más allá de lo acostumbrado. Es cuestión de decencia. Y, si hiciesen productos fantásticos, bueno, sería pasable, pero es que además la pifian cada dos por tres.

Eso si, se pueden decir cosas buenas. Office es una de ellas. Pero andrei030 es normal que se les critique mucho, aunque tu no lo veas así, son unos hijos de puta. Ahora, si la gente se conforma... que se conforme. Yo, y toda esa gente que les critica, no, y para eso está linux, el software libre, MAC, y demás alternativas, que no son perfectas, pero en muchos casos mejores.

De todas formas todo es relativo ¿no?

así que mejor no explayarse más que esta "discusión" se propaga a través de diferentes posts, semana tras semana.

Un apunte: espero que Google nunca se convierta en algo como Microsoft. Por ahora no hay problema, pero el poder es el poder...

Un saludo

08/03/2009, 22:45

lagartyjo, tampoco es que me esté la vida en ello, si no escucha lo que te digo, cuando encuentre curro del primer sueldo me compro un iMac (con el Plan Avanza, claro), pero las cosas como son, si Microsoft mete la pata más que darles un tirón de orejas se les arranca las orejas directamente, si otros meten la pata no pasa nada, son humanos. En cuanto a Linux no lo quiero ver ni en pintura, le tengo tirria, es ver el Linux y saco lo peor de mi.

09/03/2009, 21:36

Iniciado por andrei030

Iniciado por txakurra

Que la gente sea gilipollas y abra e-mails de desconocidos, ejecute archivos adjuntos a dichos e-mails y/o pinche en enlaces indebidos es una gran brecha de seguridad en la mente del ser humano, no en Gmail ni en ningún sistema electrónico/informático.

También es curioso que cuando hay una vulnerabilidad similar en Windows es culpa de Microsoft, no es culpa de la falta de experiencia del usuario. Como cambiamos el chip cuando "conviene".

De todos modos los de Google se lavan las manos con la excusa de que es beta y es "gratuito" y eso que lleva ya 5 años en beta, a ver si sale de beta algún día, aunque visto lo visto les conviene más que sea "beta" porque se cae cada dos por tres.

Me vas a comparar algo que abres tú con una puerta trasera medio abierta que un usuario normal no puede cerrar. Y la excusa del firewall no es válida, porque por muchos y muy buenos cortafuegos que se tengan, siempre hay gente capaz de saltárselos.
Si el caso hubiera sido que estaban robando contraseñas sin ningún tipo de intervención del usuario, por supuesto que habría culpado a Google.

Y microsoft tiene bastante más culpa por insuflarnos sus productos (me compré un portátil y no había forma de encontrar uno con las mismas características pero sin el windows preinstalado. Evidentemente, ya que lo pago, lo uso. Faltaría más), que encima vienen con defectos (y ya no me estoy refiriendo a agujeros de seguridad) que no corrigen por más que se les diga en su buzón de sugerencias (véase el maldito index server y las idas de olla que tiene a veces, incluso estando el servicio deshabilitado).
Es como si te vas a comprar un coche y te dicen que tiene que ser, quieras o no, verde, y que ese bollo que lleva de fábrica en la aleta izquierda no te lo descuentan del precio, ni tampoco que el climatizador funcione mal, pero que cuando se pueda, si es que pueden, te arreglan el bollo sin cobrarte, pero que lo del climatizador, mejor esperes a comprarte el siguiente coche.