Pocas veces hemos tenido que hablar sobre el servicio de correo de Google por motivos de seguridad. En lo referido a seguridad se ve que es un servicio muy completo, sin embargo, esta vez Gmail ha experimentado un problema de seguridad con el sistema de recuperación de contraseñas de usuario.
La vulnerabilidad, que ha sido descubierta por un investigador, permitía a una tercera persona utilizar un correo phishing indicando al usuario que es necesario restablecer la contraseña debido a un problema de seguridad, figurando en este correo una URL que a primera vista podría encontrarse dentro de el listado de páginas pertenecientes al gigante de internet. Sin embargo, gracias a un ataque Cross-Site Scripting, un atacante podría provocar la redirección del usuario una vez que este había hecho click en el enlace.
Un sistema de cambio de contraseña idéntico al de Google
Aunque en este caso se ha realizado una prueba y la vulnerabilidad ha sido ya reportada a los responsables de Google, esta permitía realizar un robo de la información del usuario de forma muy fácil, porque la página a la que el usuario podría ser redirigido tenía la misma apariencia que la que posee Google, por lo que sería prácticamente indetectable para el usuario que ha accedido a una página que no pertenece al gigante de internet.
También se ha grabado un vídeo en el que se puede ver cómo se puede aprovechar la vulnerabilidad:
Una vulnerabilidad que le ha costado a Google 5,100 dólares
Esta ha sido la cifra que ha formado parte de la recompensa que el gigante de internet ha ofrecido al investigador que ha descubierto la vulnerabilidad. Advertir que aún no ha sido resuelta, pero desde el gigante de internet avisan que durante el día de hoy quedará completamente resuelta.
Fuente | The Hacker News