Inicio de sesión en Google

Google NO solucionará el fallo de seguridad en sus páginas de inicio de sesión

Google ha sorprendido a muchos al dejar claro que no piensa hacerse cargo de la solución de un fallo de seguridad en sus páginas de inicio de sesión, algo grave si tenemos en cuenta que podría suceder que un usuario sea engañado y convencido para descargar malware desde la ventana de login, donde se introducen sus datos de usuario.

El descubrimiento de este peligro que acecha a cualquier usuario vino de la mano de Aidan Woods, que lo comunicó recientemente a la empresa para encontrar una solución. La primera sorpresa fué que Google decidió no tratar la información como vulnerabilidad (por tanto, ahorrándose el pagar una gratificación o “bug bounty” como sucede en estos casos).

¿Un problema grave o un asunto baladí?

Como Woods explicaba en su blog, la página de inicio de sesión de Google es susceptible de inyección de código que hace que una aplicación o servicio sea capaz de redirigir al usuario a una web cualquiera tras introducir sus datos de acceso. La teoría sugiere que un atacante solo tendría que engañar (bienvenida, ingeniería social) a un usuario para que haga click desde ahí a un enlace que contenga malware descargable.

La respuesta de Google fué que la redirección tenía que ocurrir dentro de los dominios *google.com*, algo que limitaba su impacto. Pero ahora es cuando conviene pensar un minuto y llegaremos seguramente a la conclusión, como hizo el investigador, de que los dominios drive.google.com y docs.google.com suponen un problema.

Es muy sencillo el motivo, ya que mientras Google Drive y Google Docs trabajan en la nube con subdominios de google.com, podrían perfectamente ser utilizados para servir malware mediante archivos compartidos, siendo oculta su carga tras la página de inicio de sesión.

A continuación cito parte de la respuesta enviada por el gigante de las búsquedas a su interlocutor:

Tan sólo los informes de vulnerabilidades de seguridad que afectan sustancialmente a la confidencialidad o integridad de los datos de nuestros usuarios están en el objetivo, y pensamos que la vulnerabilidad mencionada no cumple ese requisito.

El experto en ciberseguridad, pensando que Google no había entendido el asunto correctamente, decidió publicar la secuencia de emails intercambiados con la empresa en su blog.

Datos sobre el fallo de seguridad en Google.com

Quizá Google no considere la palabra vulnerabilidad como apta para describir este caso, pero lo cierto es que este pequeño descuido en su proceso de inicio de sesión podría infectar muchos ordenadores si no tenemos cuidado. Principalmente porque dentro del dominio google.com descansan muchos servicios a los que presuponemos seguridad y veracidad. Personalmente, no es la primera vez que encuentro descargas maliciosas compartidas de forma pública en cuentas de Google Drive.

  • La página de inicio de sesión de Google acepta un parámetro GET vulnerable, denominado “continue”. Hasta donde se ha comprobado, dicho parámetro lleva asociada una comprobación de seguridad: debe apuntar a *.google.com/*
  • La aplicación falla al realizar la verificación del tipo de servicio Google seleccionado. Esto quiere decir que es posible insertar de forma oculta un servicio diferente de Google al final del proceso de inicio de sesión. Por destacar un par de ellos:
    • Redirección abierta (a elegir)
    • Subida arbitraria de archivo (en Google Drive)
  • Es posible así especificar tanto una redirección abierta como insertar un archivo de forma arbitraria, en aquellos casos en que se activa “compartir como público”:

Algunos consejos para evitar redirecciones abiertas

Dado que la lista blanca que Google aplica a sus dominios es demasiado amplia y que no podemos confiarnos a la hora de utilizar sus servicios (tampoco) te recomiendo lo siguiente:

  1. Comprueba siempre la URL antes de introducir credenciales, en cada etapa del proceso.
  2. Evita realizar el inicio de sesión tras haber hehco clic sobre enlaces que no proceden directamente de Google. Un enlace malicioso podría esconderse en cualquier sitio, incluyendo las búsquedas de Google y por supuesto el contenido protegido compartido de forma pública que nos puedan pasar por Google Drive.
  3. Si parece que Google te ha servido un archivo justo después de iniciar sesión, ignóralo. Da igual lo que se suponga que es, es malicioso.

Un comentario en “Google NO solucionará el fallo de seguridad en sus páginas de inicio de sesión

Deja tu comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s