Los gadgets de Google como herramienta de phishing


Robert Hansen (a.k.a RSnake) no ha quedado nada satisfecho con la actitud de Google ante un problema de XSS detectado por él en el dominio gmodules.com. Y no me extraña; tras proceder RSnake de forma cuidadosa y absolutamente irreprochable, la respuesta de Google ha sido el clásico no es un bug, sino una característica, lo que lleva a RSnake a considerar una posibilidad preocupante: que los técnicos de Google no entiendan lo que significa esta vulnerabilidad. Porque la otra posibilidad es aún peor: que lo entiendan, pero no les importe en absoluto...





El agujero(para que este ejemplo funcione se ha de permitir javascript) permite a cualquiera que cree un gadget (una pequeña aplicación destinada a mostrar el calendario, el clima o algo parecido en las páginas web que lo instalen) utilizarlo con fines maliciosos. Dado que a estos gadgets se les permite hacer cualquier cosa (javascript incluido) en el contexto de su dominio, un atacante puede utilizar un gadget malicioso para conducir un ataque de phishing sin que exista ningún tipo de validación, ya que es la propia Google quien confecciona la lista negra antiphishing que utiliza Firefox.

Conclusión: mientras Google no se caiga del guindo, nada de gadgets de Google, por ejemplo utilizando NoScript para bloquear el dominio gmodules.com.

 

Más información:


Fuente
http://www.kriptopolis.org


Otras noticias de interés:

Licencia Creative Commons
Creative Commons nace como proyecto gracias a la iniciativa del profesor de derecho de la Universidad de Stanford y estudioso de los fenómenos sociales y culturales del ciberespacio Lawrence Lessig, siendo una organización sin fines de lucro que pe...
Exploit Microsoft Windows Media Player BMP Handling Buffer Overflow (MS06-005)
Exploit publicado en frsirt.com que ataca Windows Media Player BMP Handling Buffer Overflow Exploit (MS06-005...
W3C: HTML5 muestra su nuevo logo
HTML 5 (HyperText Markup Language, versión 5) es la quinta revisión importante del lenguaje básico de la World Wide Web, HTML. HTML 5 especifica dos variantes de sintaxis para HTML: un «clásico» HTML (text/html), la variante conocida como HTML5...
Nueva versión Trisquel 4.0 LTS
En el Día del Software Libre, la gente de Trisquel lanzó la nueva versión 4.0 TLS. con nombre en clave Taranis - dios Celta del trueno- está lista para su descarga. Trisquel es un sistema operativo totalmente libre basado en GNU/Linux, para usuar...
Vulnerabilidad - Agujero de seguridad en GMAIL deja todas las cuentas de correo electronico al descubierto
Se puede leer en seguridad0.com Un nuevo agujero en la seguridad de Gmail, el servicio de correo web gratuito de Google, permite el acceso a las cuentas de usuario de terceros, sin necesidad de conocer la contraseña....
I Jornada de Formación para el Uso de Herramientas de Software Libre aplicadas a las TICs y a la Educación
El Viernes 04 de marzo de 2011 FaCE UC con el apoyo de la Asociación Webmasters Venezuela (AWVEN) llevará a cabo la I Jornada de Formación para el uso de Herramientas de Software Libre aplicadas a las TIC’s y a la Educación...
IPCop, la Distro Firewall
IPCop es una distribución Linux que implementa un cortafuegos (o firewall) y proporciona una simple interfaz web de administración basándose en una computadora personal. Originalmente nació como una extensión (fork) de la distribución SmoothWal...
Pautas generales para mantenerse alejado de los virus
Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus, troyanos y malware: ...
Actualizaciones de seguridad en los kernel Linux
La comunidad Linux ha publicado actualizaciones de sus kernels para las ramas 2.4 y 2.6, lo que soluciona varios problemas de seguridad....
Aumenta el impacto de los virus informáticos
En el año 2003, los ataques de virus han sido más frecuentes y costosos, según el último informe anual sobre incidencias víricas de ICSA Labs, del que se ha hecho eco The Register....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gadgets
  • gentoo
  • github
  • gnome
  • gnu
  • google
  • gpl
  • gtk
  • hack
  • hacking
  • herramienta
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • phishing
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra