Descubierta vulnerabilidad en Gmail sobre la certificación de los destinatarios
Recientemente un usuario de Gmail recibió en su bandeja de entrada una oferta de trabajo de la propia Google.
Extrañado por el suceso, el matemático Zachary Harris, decidió investigar sobre ésto y encontró que el problema radicaba en la clave DKIM que es usada para iniciar sesión en los dominios de correo electrónico.
De esta forma, descubrió que Google estaba usando una longitud de clave débil. Esta clave criptográfica se usa para certificar a los destinatarios de que su remitente viene de un dominio legítimo de Google.
Si esta clave es crackeada, se podría usar para suplantar la identidad de cualquier remitente de Gmail.
Por razones de seguridad, normalmente las claves DKIM son de 1024bits de longitud, y la de Google tenía tan sólo 512bits. De esta forma, el matemático descifró la clave y envió un mensaje de correo electrónico a los fundadores de Google haciéndose pasar por ellos. Dos días después de estos emails, las claves DKIM de Google aumentaron hasta los 2048bits que hay actualmente. Lamentablemente, el matemático ni siquiera recibió un «gracias» de nadie del equipo de Google.
Según Wired, un portavoz de Google ha comunicado que la compañía ha revocado todas las claves anteriores que podrían haberse visto afectadas. Puedes ver todo lo necesario para ser DevOps.
Lo peor de este asunto, es que otras compañías como eBay, Yahoo, Twitter o Amazon, también utilizan una longitud de clave de 512bits. Paypal utiliza tan sólo una longitud de clave de 768bits, siendo la de 1024bits el mínimo recomendado hoy en día.