Vulnerabilidad - Agujero de seguridad en GMAIL deja todas las cuentas de correo electronico al descubierto


Se puede leer en seguridad0.com "Un nuevo agujero en la seguridad de Gmail, el servicio de correo web gratuito de Google, permite el acceso a las cuentas de usuario de terceros, sin necesidad de conocer la contraseña."





Este bug de máximo riesgo ha sido descubierto hace apenas un días por Anelkaos, miembro del staff del conocido grupo de investigadores de seguridad de la página web http://www.elhacker.net

Esta vulnerabilidad expone todos los datos de cualquiera que disponga de una cuenta Gmail, dando acceso total a la lectura de los correos recibidos y enviados, aparte de los archivos adjuntos. Incluso se pueden enviar y recibir mensajes desde esa cuenta.

Aún más alarmante es el hecho de que explotar esta vulnerabilidad es bastante sencillo. Incluso se pueden desarrollar programas que lo hagan automáticamente, y te den acceso a cualquier cuenta con sólo con introducir la dirección de correo electrónico.

Paradójicamente hace un año fue publicada una vulnerabilidad que permitía el robo de la identidad de las cuentas de Gmail mediante el robo de las cookies a través de un enlace construido maliciosamente. Las consecuencias eran las mismas, y Google ya corrigió el fallo. La noticia puede leerse aquí: .http://www.betanews.com/article/Gmail_Bug_Exposes_Emails_to_Hackers/1105561408

A diferencia del bug anterior, con este nuevo fallo no hace falta ni siquiera robar las cookies del usuario. Sólo hace falta conocer la cuenta de Gmail que se quiere atacar. Además, de nada vale cambiar la contraseña, ya que esta técnica permite a cualquiera ingresar a esa cuenta sin necesidad de contraseña alguna.

Este agujero es de especial relevancia en la seguridad de Google, ya que Gmail ofrece un Gigabyte de espacio de almacenamiento y muchos usuarios usan este espacio para almacenar documentos privados, incluyendo contraseñas y otra información crítica. Puesto que los usuarios prácticamente no tienen forma de protegerse (no importa el cambio de contraseñas), el autor de este bug, conocido como Anelkaos, no publicará la vulnerabilidad hasta que Google haya solucionado el problema. Es de suponer que el autor publicará un paso a paso, con imágenes del bug, en los foros de http://www.elhacker.net

La vulnerabilidad ha sido reportada a Google, y están trabajando para ponerle remedio.

Autor: Unravel

Enlaces donde se puede ver la nota:
http://foro.elhacker.net/index.php/topic,91351.0.htm

http://foro.elhacker.net/index.php/topic,91351.45.html

http://www.idg.es/pcworld/noticia.asp?idn=43790

En la lista de seguridad0. Exponen:

Carlos Mesa: "La razón de que no haya más información al respecto es que ANELKAOS ha sido
intimidado, después de dar a conocer el fallo a algunos de los jefes gordos
de Google. Por lo visto le dijeron que no hiciera nada público hasta que lo
hubieran solucionado o le echarían la caballería de abogados encima.

El grupo en cuestión que está detrás de este full-disclosure proponen a los
no creyentes la siguiente operación: tú les pasas una cuenta de correo
loquesea@gmail.com con mensajes que reales que sólo tú conozcas y ellos te
pasan un listado de los correos electrónicos y su contenido (evidentemente
sin conocer previamente tu login y password). Y cuando lo vi, pues como le
sucedió a Santo Tomás, me hice creyente.

Así que de gol, nada."

Xombra: "En http://foro.elhacker.net/index.php/topic,91351.0.htm se puede leer que el amigo ANELKAOS se hace de la autoria del informe del bugs en cuestion, indica que la intrusion fue el 14-10-2005 , escrieb además que público el bugs en Bug & Exploits y se vi obligado a borrar el hilo (la razón, solo él la sabrá).

Esperemos que el compañero ANELKAOS públique nuevamente el exploits para verificar su uso, y que Tio Google repare a la brevedad dicho bugs de ser cierto"

Martes13: "Me cuesta creerlo, y mas cuando te dicen: Es algo que tu no puedes solucionar, lo haran ellos...pero.. como se pueden haber tocado demasiados datos privados... no se dira por no asustar. Me huele mal esto xD.

Tambien he contactado con gente que tiene acceso a los foros privados de elhacker.net y me han dicho que no hay post referente a esto. Me dijeron que si habia algo, todo se tocaba por Mensajeria Instantanea (jabber, msn, ..."

 

Fuente:
seguridad0.com

 



Otras noticias de interés:

Software para monitorear conexiones con bluetooth
BlueSweep es un software gratuito proporcionado por AirMagnet Inc., y que ha sido diseñado para identificar y rastrear la actividad de dispositivos bluetooth cercanos a la computadora en que se instale esta herramienta....
Safari con fallo de seguridad
Los sitios webs atacantes que visita el usuario con el navegador podrían acceer a la información a través de la función autocompletar....
Seguridad en VoIP: Decodificando llamadas
Hoy en día, y cada vez más, se están implantado sistemas de comunicación a través de redes IP, también conocidos como Voz sobre IP (VoIP). Por un lado, los operadores de telefonía e internet, desde hace un tiempo, están sustituyendo las líne...
Europa prueba su ciberseguridad
La Unión Europea testa hoy sus mecanismos de seguridad como parte del primer ejercicio paneuropeo de ciberseguridad. El simulacro tiene como objetivo probar la coordinación de los Estados miembro en caso de ataque informático....
Ubuntu Tweak 0.3.5
Nueva versión de este excelente herramienta para tunear nuestro Ubuntu...
¿Qué pueden hacer con nuestros datos?
El manejo negligente de los datos que sobre las personas manejan sitios Web, empresas, organizaciones o entes gubernamentales, puede brindar a las manos equivocadas un acceso contraproducente a la vida de los seres humanos. En la era d...
AutoRun.VB.ASA: de un gusano a varias amenazas
VITESSE Networks,ha anunciado un código malicioso que fue identificado por el laboratorio de Eset como Win32/AutoRun.VB.ASA gusano. Como el nombre de la detección lo indica, esta amenaza se propaga principalmente a través de dispositivos de almace...
Boletines de seguridad de Microsoft en abril
Este martes Microsoft ha publicado seis boletines de seguridad (del MS12-023 al MS12-028) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft cuatro de los boletines presentan un nivel de gravedad cr...
Resueltos 7 fallos en Chrome por Google
Todos excepto uno de los fallos resueltos en Chrome 12.0.742.112 han sido clasificados como altos, el segundo nivel más severo de amenaza en el sistema de cuatro pasos de Google. Varios componentes del navegador se han beneficiado de estos parches, ...
Hackers atacando las Fotocopiadoras
Hoy se ha reportado que los hackers están utilizando a Google, el famoso buscador, para lanzar ataques a las redes de fotocopiadoras alrededor del mundo. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • agujero
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • correo
  • cuentas
  • debian
  • deja
  • descubierto
  • electronico
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gmail
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidad
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra