• Registrarse
  • Iniciar sesión


  • Resultados 1 al 3 de 3

    Google ignora una vulnerabilidad de seguridad en Gmail descubierta en el 2007

    Una vulnerabilidad de seguridad en el servicio de correo electronico Gmail descubierta por un español y que permite cambiar la contraseña de cuentas de correo en este servicio sin que su propietario se entere, fue ...

          
    1. #1
      Usuario Avatar de Velcro
      Registrado
      ene 2008
      Ubicación
      Donde me plazca
      Mensajes
      982

      Atención Google ignora una vulnerabilidad de seguridad en Gmail descubierta en el 2007



      Una vulnerabilidad de seguridad en el servicio de correo electronico Gmail descubierta por un español y que permite cambiar la contraseña de cuentas de correo en este servicio sin que su propietario se entere, fue reportada por Vicente Aguilera en el 2007 a Google y todavía esta compañia no ha hecho nada para solucionarla, argumentado que esta vulnerabilidad le parece difícil de explotar.

      La vulnerabilidad de seguridad que puede permitir el robo de cuentas Gmail cambiando la contraseña de esta se trata de una vulnerabilidad de tipo CSRF (Cross Site Request Forgery) y aunque fue reportada a Google en el 2007, esta ha echo caso omiso del tema hasta el momento.

      En el dia de ayer el español Vicente Aguilera de ISecAuditors Security Advisories ha publicado una descripción y prueba de concepto (en ingles) que pueden leer en este enlace.

      Algunos comentarios a esta noticia en Kriptópolis califican la vulnerabilidad como "menor", indicando que la probabilidad de éxito sería mas baja en funcion de cuan larga y compleja sea la contraseña:

      Además requiere de un ataque pasivo; el usuario debe se inducido a visitar un sitio web preparado para el ataque mientras permanece con una sesion de Gmail activa.

      Para explotar esta vulnerabilidad hace falta seducir al usuario a visitar un sitio web (comprometido ó diseñado para eso) que podría llegar a realizar el cambio de contraseña sin que se de cuenta. La posibilidad de éxito es baja y debería tratarse de un ataque dirigido.

      No es posible un ataque masivo explotando esta vulnerabilidad, pero para evitar la posiblidad de esta vulnerabilidad y como mitigar el riesgo a continuacion:


      * Utilice una contraseña compleja y larga, tanto como le sea posible.
      * Evite visitar sitios que no acostumbra cuando permanece con una sesión en Gmail abierta ó mejor aun para mayor seguridad no visitar ningun sitio con una cuenta abierta.
      * Si puede, utilice un cliente de correo POP3 (Outlook, Thunderbird, Eudora, etc.) para acceder a su correo Gmail.


      Fuente
      Última edición por Velcro fecha: 04/03/09 a las 21:22:26 Razón: arreglar error en redaccion

    2. #2
      Usuario Avatar de Alvne
      Registrado
      oct 2007
      Ubicación
      Mexico
      Mensajes
      1.326

      Re: Google ignora una vulnerabilidad de seguridad en Gmail descubierta en el 2007

      Esperemos que esta vulnerabilidad en verdad sea díficil de llevar a cabo, ya que mi cuenta de correo de confianza es gmail.

      Cabe mencionar que aunque sea un vulnerabilidad menor en fin es vulnerabilidad y debe ser reparada.

    3. #3
      Ex-Colaboradora Avatar de Maggots_1
      Registrado
      oct 2008
      Ubicación
      >>> Cr., Mvd, U
      Mensajes
      1.450

      Re: Google ignora una vulnerabilidad de seguridad en Gmail descubierta en el 2007

      Tengo una cuenta en Gmail, no acostumbro utilizarla, debido a que en su mayoria uso diversos correos alternativos.
      Pero esperemos que se realizen medidas para solucionar esta vulnerabilidad pronto, ya que como dice Alvne, en su mayoria Gmail es considerada como correo seguro y de confianza.
      Saludos --