Vulnerabilidad en Gmail (y mitigación)
Ni es la primera de este tipo ni tampoco me atrevo a llamarla nueva, porque al parecer Google fue informado en Agosto de 2007 de esta vulnerabilidad, que no ha solucionado porque le parece difícilmente explotable.
El descubridor es un español (Vicente Aguilera, de ISecAuditors) que ha decidido publicar hoy una descripción y prueba de concepto.
Se trata de una vulnerabilidad del tipo CSRF, que permitiría a un atacante cambiar la contraseña de un usuario de Gmail sin su conocimiento.
http://www.kriptopolis.org/vulnerabilidad-gmail#comment-49894
Además requiere un ataque pasivo, el usuario debe se inducido a visitar un sitio web preparado para el ataque mientras permanece con una sesion de Gmail activa.
Para explotar esta vulnerabilidad hace falta seducir al usuario a visitar un sitio web (comprometido o diseñado para eso) que podría llegara realizar el cambio de contraseña sin que se de cuenta. La posibilidad de éxito es baja y debería tratarse de un ataque dirigido.
No es posible un ataque masivo explotando esta vulnerabilidad.
Como mitigar el riesgo de esta vulnerabilidad:
El descubridor es un español (Vicente Aguilera, de ISecAuditors) que ha decidido publicar hoy una descripción y prueba de concepto.
Se trata de una vulnerabilidad del tipo CSRF, que permitiría a un atacante cambiar la contraseña de un usuario de Gmail sin su conocimiento.
Notas de la redaccion de Segu-info:
Algunos comentarios a esta noticia en Kriptópolis califican la vulnerabilidad como "menor", la probabilidad de éxito sería mas baja en funcion de cuan larga y compleja sea la contraseña:http://www.kriptopolis.org/vulnerabilidad-gmail#comment-49894
Además requiere un ataque pasivo, el usuario debe se inducido a visitar un sitio web preparado para el ataque mientras permanece con una sesion de Gmail activa.
Para explotar esta vulnerabilidad hace falta seducir al usuario a visitar un sitio web (comprometido o diseñado para eso) que podría llegara realizar el cambio de contraseña sin que se de cuenta. La posibilidad de éxito es baja y debería tratarse de un ataque dirigido.
No es posible un ataque masivo explotando esta vulnerabilidad.
Como mitigar el riesgo de esta vulnerabilidad:
- Utilice una contraseña compleja y larga, tanto como le sea posible.
- Evite visitar sitios que no acostumbra cuando permanece con una sesión en Gmail abierta.
- Si puede, utilice un cliente de correo POP3 (Outlook, Thunderbird, Eudora, etc.) para acceder a su correo Gmail.
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!