Solucionan una vulnerabilidad que ponía en riesgo todas las cuentas de Gmail
Solucionan una vulnerabilidad que ponía en riesgo todas las cuentas de Gmail
Logotipo de Gmail
No es normal encontrar fallos de seguridad en el servicio de correo electrónico del Gigante de Internet. Pero sí que es cierto que cuando se encuentra uno la repercusión es bastante importante, sobre todo de cara a la seguridad de las cuentas. Un estudiante pakistaní encontró una vulnerabilidad que exponía todas las cuentas del servicio Gmail, sin excepción alguna.
La base de esta vulnerabilidad se encontraba (ya ha sido resuelta) en la relación que existía entre una cuenta principal y otras a las que se reenviaban los mensajes. Con solo unos pocos pasos, era posible realizar el secuestro de una cuenta, obligando a que los sistemas enviasen el código de verificación de la misma.
Obviamente, para llevar a cabo el ataque el ciberdelincuentes debería conocer en primer lugar cuál es la cuenta secundaria que está asociada a la principal. Sin embargo, no será a la secundaria a la que se enviará este código, sino a una elegida por los propios atacantes. El estudiante ofreció a Google una gran cantidad de información, destacando las condiciones en las que es posible llevar a cabo el ataque contra las cuentas del servicio Gmail:
Si la función SMTP del correo electrónico está desactivada.
Si el destinatario ha desactivado su correo.
Si la cuenta de destino no existe.
Si la cuenta existe pero ha sido bloqueada por otro usuario
En todos estos casos mencionados se está refiriendo a la cuenta de destino, es decir, a la que se enviaría el mensaje de recuperación del acceso de la cuenta principal.
Gmail y el problema con el envío de la verificación
El proceso es sumamente sencillo. Un usuario quiere comprobar el propietario de una cuenta de Google. Desde la compañía sus equipos tratan de enviar el mensaje con la información a la cuenta secundaria. En el caso de no estar activada (es decir, se encuentra en uno de los casos mencionados con anterioridad) el mensaje se devuelve y en esta ocasión se envía al correo solicitante con el token que permite la autenticación de forma satisfactoria.
En el siguiente vídeo se pueden ver más detalles sobre el modo de operación:
Obviamente, en este tipo de casos se acostumbra a dar un periodo de gracia para que la empresa pueda resolver el problema. Y así ha sido. El estudiante notificó a Google el problema el pasado lunes y el viernes ya habían encontrado una solución para que la información de las cuentas de correo electrónico no se reenvíe de forma descontrolada.
– Ver información original al respecto en Fuente:: todas-las-cuentas-gmail/#sthash.JiKjZI2k.dpuf
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.