Una vulnerabilidad en Gmail que Google prefiere ignorar

Un ingeniero español publica cómo explotar un agujero de seguridad que permite modificar la clave de acceso de un usuario sin su consentimiento, tras ver cómo Google mira para otro lado. Actualizado.

Vicente Aguilera, ingeniero informático de ISecAuditors, ha decidido publicar cómo aprovechar un agujero de seguridad que encontró en Gmail para cambiar la contraseña de un usuario sin su consentimiento, con el consecuente peligro de robo de identidad y acceso a información confidencial que eso conlleva.

Aguilera asegura que informó a Google el 1 de agosto de 2007 y, tras una respuesta solicitando información adicional para analizar el problema y otra 15 días más tarde para informar que estaban trabajando en solucionarlo, el buscador no volvió a contactar con él hasta cinco meses después. El 18 de enero, Google contestó a uno de sus correos (en los que solicitaba información sobre el avance del parche para corregir el problema) indicando que el equipo de seguridad de Google no tenía pensado hacer modificaciones al respecto. “Consideramos estos argumentos insuficientes”, dijeron. Tras nuevos intentos de contacto para exigir un arreglo del problema, ayer decidió hacerlo público.

Como explica el propio informático, se trata de una vulnerabilidad del tipo CSRF, que permitiría a un atacante modificar la contraseña de un usuario de Gmail sin su conocimiento.

Según Aguilera, el único modo para autentificar el usuario es mediante una cookie que es enviada automáticamente por el navegador en cada solicitud. Un atacante puede crear una página que incluye las solicitudes de la funcionalidad de Gmail de “Cambiar contraseña ” y modificar las contraseñas de los usuarios, quienes, siendo autorizados, visitarían la página del atacante.

Actualización: Google ha respondido a esta noticia indicando que tiene constancia de esta vulnerabilidad, pero no la considera “significativa” porque para explotarla con éxito sería necesario adivinar correctamente la contraseña de un usuario en el periodo de tiempo que dicho usuario estuviese visitando la website de un potencial atacante.

Además, la compañía asegura que no ha recibido ningún informe indicando que esto haya sucedido, pero a pesar de las “escasas posibilidades” existentes de obtener una contraseña válida de esta forma, seguirá trabajando para solucionarlo.

La empresa insiste en que siempre anima a sus usuarios a escoger contraseñas robustas, ayudando a seleccionarla mediante un indicador.