El descubridor es un español (Vicente Aguilera, de ISecAuditors) que ha decidido publicar hoy una descripción y prueba de concepto.
Se trata de una vulnerabilidad del tipo CSRF, que permitiría a un atacante cambiar la contraseña de un usuario de Gmail sin su conocimiento.
Notas de la redaccion de Segu-info:
Algunos comentarios a esta noticia en Kriptópolis califican la vulnerabilidad como "menor", la probabilidad de éxito sería mas baja en funcion de cuan larga y compleja sea la contraseña:http://www.kriptopolis.org/vulnerabilidad-gmail#comment-49894
Además requiere un ataque pasivo, el usuario debe se inducido a visitar un sitio web preparado para el ataque mientras permanece con una sesion de Gmail activa.
Para explotar esta vulnerabilidad hace falta seducir al usuario a visitar un sitio web (comprometido o diseñado para eso) que podría llegara realizar el cambio de contraseña sin que se de cuenta. La posibilidad de éxito es baja y debería tratarse de un ataque dirigido.
No es posible un ataque masivo explotando esta vulnerabilidad.
Como mitigar el riesgo de esta vulnerabilidad:
- Utilice una contraseña compleja y larga, tanto como le sea posible.
- Evite visitar sitios que no acostumbra cuando permanece con una sesión en Gmail abierta.
- Si puede, utilice un cliente de correo POP3 (Outlook, Thunderbird, Eudora, etc.) para acceder a su correo Gmail.
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!