Google GooPass, un servicio de almacenamiento de contraseñas falso

Escrito por Adrián Crespo
Seguridad
0

Aunque pueda parecer un servicio más de los de Mountain View, se trata de un phishing que está afectando a miles de usuarios y que es posible gracias a una vulnerabilidad que ha sido encontrada en Google Docs. El “servicio”, que ha sido bautizado como Google GooPass, posee la utilidad de guardar todas las contraseñas de los servicios del usuario en un documento de Docs. Evidentemente, todo esto es falso.

Unificar servicios tiene muchas cosas buenas, pero también tiene cosas malas. Google Drive sirve en la actualidad, no sólo como nube para el usuario y que suba los archivos que desee, sino que es también es el almacenamiento de Google Docs. Unos investigadores han desvelado cómo los ciberdelincuentes, utilizando una URL que contiene software malicioso, son capaces de tener acceso al Docs de un usuario y crear un documento de texto con permisos de lectura y escritura para ellos y el usuario.

Podéis ir pensando lo que sucede a continuación.

Google GooPass, falso servicio de almacenamiento de contraseñas

Google-GooPass-falso-servicio-almacenamiento

Los hackers. al tener todos los permisos posibles para interactuar con el fichero, le van a renombrar con el nombre de Google GooPass, y hacen creer al usuario que se trata de un servicio de almacenamiento de contraseñas, nombres de usuario y números de tarjeta de crédito en la nube. Pero nada más lejos de la realidad, se trata de un engaño que está afectando a miles de usuarios y que está causado por el problema de seguridad que posee Google Docs.

Incidir en que el servicio Google GooPass no existe, se trata únicamente de un fichero que es creado de forma remota, y que toda la información que sea escrita en ese fichero será visible de forma remota por los hackers, y que tienen permisos de lectura y escritura sobre él.

Google ya ha sido alertada sobre este problema de seguridad que aún no ha sido corregido, pero que se espera que esta próxima semana pueda ser corregido.

Fuente | The Hacker News