Google soluciona vulnerabilidad que permitía secuestrar cuentas de GMail
La base de esta vulnerabilidad se encontraba (ya ha sido resuelta) en la relación que existe entre una cuenta principal y otras a las que se reenvian mensajes. Con solo unos pocos pasos, era posible realizar el secuestro de una cuenta, obligando a que los sistemas enviasen el código de verificación de la misma.
Obviamente, para llevar a cabo el ataque el atacante debería conocer en primer lugar cuál es la cuenta secundaria que está asociada a la principal. Sin embargo, no será a la secundaria a la que se enviará este código, sino a una elegida por los propios atacantes. El estudiante pakistaní Ahmed Mehtab ofreció a Google una gran cantidad de información, destacando las condiciones en las que es posible llevar a cabo el ataque contra las cuentas del servicio Gmail:
El proceso era sumamente sencillo.
Fuente: RedesZone | Betanews
Obviamente, para llevar a cabo el ataque el atacante debería conocer en primer lugar cuál es la cuenta secundaria que está asociada a la principal. Sin embargo, no será a la secundaria a la que se enviará este código, sino a una elegida por los propios atacantes. El estudiante pakistaní Ahmed Mehtab ofreció a Google una gran cantidad de información, destacando las condiciones en las que es posible llevar a cabo el ataque contra las cuentas del servicio Gmail:
- Si la función SMTP del correo electrónico está desactivada.
- Si el destinatario ha desactivado su correo.
- Si la cuenta de destino no existe.
- Si la cuenta existe pero ha sido bloqueada por otro usuario
- El atacante intenta confirma que es dueño de la cuenta [email protected]
- Google envia un correo de confirmación a [email protected]
- [email protected] no puede recibir el correo y el mismo rebota
- En el rebote, Google brinda (por error) al atacnte el código de verificación de la cuenta
- Con el código, el atacaten puede confirmar que es dueño de [email protected] y secuestra la cuenta.
Fuente: RedesZone | Betanews
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!