En Amsterdam, se ha celebrado la conferencia «Hack in the Box«. En esta conferencia, investigadores de seguridad han dado a conocer ocho vulnerabilidades en los servicios de Google aunque afirman haber descubierto más de 100 errores. Los fallos han sido descubiertos en Blogger, Google Analytics y en Google Calendar. Estos sitios tienen la vulnerabiidad de XSS (Cross-site-scripting), estos ataques permiten la ejecución de código malicioso de un sitio web como si perteneciera a otro. Con esta vulnerabilidad se puede hackear el equipo de la víctima, a parte de su cuenta de Gmail.
En lo relativo al error de Google Calendar, Avraham comenta que encontraron la manera de conseguir que un usuario de Calendar haga un ataque XSS utilizando la opción de compartir la aplicación. El usuario puede ejecutar el fallo por ti.
Esto es posible a través del intercambio de elementos de Calendar con los de la víctima, enviando varias notificaciones y a continuación eliminando los elementos no deseados y compartidos del calendario. Una vez que el usuario los ha eliminado, le saltará un mensaje de error diciendo que no se puede cargar, a continuación, el ataque XSS se ejecuta permitiendo al atacante introducirse en el equipo
El error de Analytics consiste en enviar un enlace XSS a un administrador del sitio web objetivo. Esto es posible porque tiene una característica que permite ver datos superpuestos en la página web con Analytics, y éste acepta peticiones entrantes.
Debemos recordar que Google premia con bastante dinero, a todos los usuarios que reporten vulnerabilidades, dependiendo de la gravedad, ese dinero aumenta o disminuye. ¿Cuánto habrán ganado por estos fallos?
Nota: estos errores fueron corregidos antes de la conferencia.
Os recomendamos conocer las mejores bases de datos de vulnerabilidades para mantenerte al día de todos los fallos de seguridad.