Detalles sobre el agujero de seguridad de las cuentas de Google
Ayer os hablábamos de un agujero de seguridad de Google que hubiese permitido a un atacante hacerse con el control de cualquier cuenta de usuario, y a partir de ahí poder acceder a una gran cantidad de información personal y sensible.
Ahora, en este post, Tony Ruscoe nos cuenta más detalles sobre esta vulnerabilidad, que ya ha sido solucionada por el equipo de seguridad de Google. En este caso, se trata de un error como es el permitir que el recientemente presentado programa para alojar cualquier tipo de dominio en los blogs de Blogger admitiese incluso dominios del tipo 'algo.google.com', con el riesgo que supone para los usuarios, los cuales confían en las páginas de 'google.com'.
Ruscoe nos comenta que este programa de Blogger no comprueba que alguien sea efectivamente el propietario de los dominios que señala, y su prueba de que tiene el control sobre ellos simplemente se limita a que modifiquen una entrada del servidor de nombres de dominio (DNS) para redirigir el tráfico web hacia unos servidores concretos de Google. Con ello, se podían señalar ciertos dominios 'algo.google.com', los cuales ya de por sí redirigen a esos servidores de la compañía que muestran los blogs de Blogger.
Dentro de la herramienta de gestión de Blogger se puede crear una página web con un script que, al estar albergado en esta ocasión bajo el dominio 'google.com', pueda hacerse (mediante XSS) con los datos contenidos en las cookies de las sesiones de los usuarios dentro de las aplicaciones alojadas en 'google.com' (todos los servicios personalizados de Google). Pero también, como afirma Ruscoe, se podría haber creado maliciosamente una página que, bajo el dominio 'algo.google.com', mostrase un formulario de registro para introducir nuestro nombre de usuario y contraseña de Google, redirigiendo los datos insertados hacia un tercer sitio web que los extrae.
Además, Ruscoe va más allá, y se pregunta sobre si no sería también poco fiable el que se puedan albergar en los servidores de Google (y, por lo tanto, se puedan capturar datos privados relacionados con sus herramientas) sitios web con dominios tipo 'googlepasswords.com'. Hay que recordar que no solamente se pueden alojar páginas en los servidores de Google con el servicio de Blogger, sino también con 'Google Apps para tu dominio', el cual no permite utilizar el dominio '*.google.com'.
Fuente: http://google.dirson.com/post/3096-detalles-agujero-seguridad-cuentas/
Ahora, en este post, Tony Ruscoe nos cuenta más detalles sobre esta vulnerabilidad, que ya ha sido solucionada por el equipo de seguridad de Google. En este caso, se trata de un error como es el permitir que el recientemente presentado programa para alojar cualquier tipo de dominio en los blogs de Blogger admitiese incluso dominios del tipo 'algo.google.com', con el riesgo que supone para los usuarios, los cuales confían en las páginas de 'google.com'.
Ruscoe nos comenta que este programa de Blogger no comprueba que alguien sea efectivamente el propietario de los dominios que señala, y su prueba de que tiene el control sobre ellos simplemente se limita a que modifiquen una entrada del servidor de nombres de dominio (DNS) para redirigir el tráfico web hacia unos servidores concretos de Google. Con ello, se podían señalar ciertos dominios 'algo.google.com', los cuales ya de por sí redirigen a esos servidores de la compañía que muestran los blogs de Blogger.
Dentro de la herramienta de gestión de Blogger se puede crear una página web con un script que, al estar albergado en esta ocasión bajo el dominio 'google.com', pueda hacerse (mediante XSS) con los datos contenidos en las cookies de las sesiones de los usuarios dentro de las aplicaciones alojadas en 'google.com' (todos los servicios personalizados de Google). Pero también, como afirma Ruscoe, se podría haber creado maliciosamente una página que, bajo el dominio 'algo.google.com', mostrase un formulario de registro para introducir nuestro nombre de usuario y contraseña de Google, redirigiendo los datos insertados hacia un tercer sitio web que los extrae.
Además, Ruscoe va más allá, y se pregunta sobre si no sería también poco fiable el que se puedan albergar en los servidores de Google (y, por lo tanto, se puedan capturar datos privados relacionados con sus herramientas) sitios web con dominios tipo 'googlepasswords.com'. Hay que recordar que no solamente se pueden alojar páginas en los servidores de Google con el servicio de Blogger, sino también con 'Google Apps para tu dominio', el cual no permite utilizar el dominio '*.google.com'.
Fuente: http://google.dirson.com/post/3096-detalles-agujero-seguridad-cuentas/
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!