Skip to content

Otro fallo de seguridad en Gmail

7 noviembre, 2016
Seguridad en Gmail

La base de esta vulnerabilidad se encontraba (ya ha sido resuelta) en la relación que existía entre una cuenta principal y otras a las que se reenviaban los mensajes. Con solo unos pocos pasos, era posible realizar el secuestro de una cuenta, obligando a que los sistemas enviasen el código de verificación de la misma.

Seguridad en Gmail

Obviamente, para llevar a cabo el ataque el ciberdelincuentes debería conocer en primer lugar cuál es la cuenta secundaria que está asociada a la principal. Sin embargo, no será a la secundaria a la que se enviará este código, sino a una elegida por los propios atacantes. El estudiante ofreció a Google una gran cantidad de información, destacando las condiciones en las que es posible llevar a cabo el ataque contra las cuentas del servicio Gmail:

  • Si la función SMTP del correo electrónico está desactivada.
  • Si el destinatario ha desactivado su correo.
  • Si la cuenta de destino no existe.
  • Si la cuenta existe pero ha sido bloqueada por otro usuario

En todos estos casos mencionados se está refiriendo a la cuenta de destino, es decir, a la que se enviaría el mensaje de recuperación del acceso de la cuenta principal.

Gmail y el problema con el envío de la verificación

seguridad en GmailEl proceso es sumamente sencillo. Un usuario quiere comprobar el propietario de una cuenta de Google. Desde la compañía sus equipos tratan de enviar el mensaje con la información a la cuenta secundaria. En el caso de no estar activada (es decir, se encuentra en uno de los casos mencionados con anterioridad) el mensaje se devuelve y en esta ocasión se envía al correo solicitante con el token que permite la autenticación de forma satisfactoria.

En el siguiente interesantisimo vídeo, se pueden ver más detalles sobre el modo de operación:

[sociallocker id=4877][/sociallocker]

El problema ha quedado resuelto

Obviamente, en este tipo de casos se acostumbra a dar un periodo de gracia para que la empresa pueda resolver el problema. Y así ha sido. El estudiante notificó a Google el problema el pasado lunes y el viernes ya habían encontrado una solución para que la información de las cuentas de correo electrónico no se reenvíe de forma descontrolada.

Fuente | betanews