Una vulnerabilidad en Gmail permite cambiar la contraseña de acceso sin consentimiento de su dueño

#2   No es nueva, aunque la han revisado:

INTERNET SECURITY AUDITORS ALERT 2007-003
- Original release date: August 1st, 2007
- Last revised: January 11th, 2009
- Discovered by: Vicente Aguilera Diaz
- Severity: 3/5

(Edit: Vale, la próxima vez me leo bien la entradilla)

#4   "El descubridor es un español"

aunque nos paguen sueldos de subsistencia España es cuna de gente muy muy valiosa

hasta que la queman en una carnicera

#5   Los de Google no la corrigen porque dicen que es difícil de explotar...ale, y se quedan tan anchos.

#6   ¿Y después de año y medio no han explotado esto los hackers para fastidiar al monopolio? Pues será difícil de cojones ponerlo en marcha.

(he intentado entender algo, pero se me antoja complicado con tantas siglas que no conozco)

#7   #0 se te quedó en [EN]

#9   #8, claro, tú ya sabías eso, ¿verdad?

Por cierto, también había scripts para cambiar contraseñas de Hotmail. No sé si seguirán funcionando...

#10   #1 Sobra este enlace porque no añade nada. Yo lo llamaría SPAM.

#11   #10 Bien llamado. No podrías haber cojido otro. ؟

Lo he puesto por si "no os fiabais" de la entradilla y lo queríais ver en una web en castellano. Tikismikis

Si no os sirve de nada pasais de él, pero no entiendo para que lo negativizais macho, si es que coomo sois...pero a lo mejor a alguien le vale como "otra fuente"

#12   Es complicado pero no imposible, pero si tienes las cookies deshabilitadas en tu Explorador no caes .. claro que hoy en dia quien se puede permitir ese lujo

#13   No acabo de entender bien. Se puede hacer comprobaciones mediante gets contra la pagina de cambiar password, pero aun asi se necesita usar fuerza bruta para averiguar la password? me he perdido algo?

#1 Yo no he leido esto en el articulo :"que permitiría a un atacante cambiar la contraseña de un usuario de Gmail sin su conocimiento."

Simplemente se salta el captcha, por lo que yo entiendo

#14   Si lo he entendido bien (que no lo tengo claro), de fondo hay un ataque de fuerza bruta?

#15   Se trata de enviar un mail a la cuenta Gmail de la victima y esperar que visite el link que le mandamos.

Al visitarlo, el navegador de la victima intentará cargar imágenes ocultas que en realidad son llamadas a una URL de Gmail para cambiar el pass. Como está autenticado, google no le pone el captcha y puede probar varias combinaciones de pass para ver si acierta.

Pero claro, una combinación por cada imagen oculta, así que con 5 o 6 que ponga el atacante no creo que acierte.

No es muy allá esta vulnerabilidad.

#17   #14, eso me parece a mí, lo que no estoy seguro es de cómo consigue saber el atacante si realmente ha conseguido cambiarla...

Por lo que veo podría consistir es un script que vaya probando contraseñas a base de iframes, hasta que la cambie, del lado del usuario. ¿Pero podría llegar a saber si la ha cambiado sin entrar en la cuenta?

Y si es como dice #14, si la contraseña es robusta, hay poco que hacer. Lo bueno que tiene este método es que es el usuario el que realiza las peticiones, y Google no detecta que existe una tercera persona de por medio.

#19   No deja de ser el típico caso de phising, inyecta comandos en la web de Gmail y se salta algunas protecciones, pero antes hay que darle al enlace.

An attacker can create a page that includes requests to the "Change
password" functionality of GMail and modify the passwords of the users
who, being authenticated, visit the page of the attacker.

Supongo que por eso no le han echo demasiado caso, hasta que llegue un gusano que explote la funcionalidad y te redirija a la web sin saberlo...

#20   Mmm, es un ataque de fuerza bruta, pues necesita el Pass del usuario previamente. Como no lo tienes, lo tienes que hacer a lo bestia (como cuenta #15). Y no es fácil, pues gmail te obliga a ponerte password seguros

Además primero tienes que recibir un mail, abrirlo e irte a otra página. Por cierto, no acabo de entender como obtiene la respuesta el atacante, para verificar si el ataque ha salido bien o no. ¿En los logs del Apache o algo así? (como cuenta #19)

Lo único que consigue este ataque es saltarse el capcha. Pero la posibilidad de que le puedan quitar la contraseña a alguien con este método es parecida a la la posibilidad de que el LHC destruya el universo.

O eso me ha parecido

#22   HOYGAN DONDE AI KE ESCRIBIR PA KE PODA ENTRAR AL CORREO DE MI NOVIO???????

#23   #16 Además de cagarla con tu primer comentario, ahora tratas de justificarte de una manera ridícula.

En tu primer comentario, en #8, haces ver que hotmail es un servicio más seguro que los demás (¿cómo osan preguntarte algunos por qué lo usas? ), cuando la mayoría de phising y demás "ataques" vía e-mail están dirigidos a este servicio (ya sea por el número de gente que lo usa o el poco conocimiento de sus usuarios).

#24   #3 ¿cómo no va a decir lo mismo si la entrada de meneame es un copipasteo de la de kriptopolis en español?

#26   #25 perdona mi osadia, pero hotmail tiene un buen filtro antispam y filtros personalizados para evitar correos en cadena? porque si fuera asi volveria a usar mi ( ya de por si infestadisima ) cuenta de correo de hotmail, pero por ahora me gusta mas como filtra gmail, a pesar de que se documenten bugs ( que almenos se documentan y se hacen tickets y se arreglan ) no como hotmail que actua a escondidas permitiendo que aun persistan bugs indocumentados

#27   #8 .. me parto ... no puedo decir mas

#29   #8 Y que lo digas, je, a mi todavia me miran mal por seguir usando palomas mensajeras en vez de crearme un correo electronico de esos.

#30   Lo que más me ha preocupado de esto es el capitulo siguiente:

XI. DISCLOSURE TIMELINE
July 30, 2007: Vulnerability acquired by
Internet Security Auditors.
August 1, 2007: Initial notification sent to the
Google security team.
August 1, 2007: Google security team request additional
information.
about and start review the vulnerability.
August 13, 2007: Request information about the status.
August 15, 2007: Google security team responds that they are still
working on this.
September 19, 2007: Request for the status. No response.
November 26, 2007: Request for the status. No response.
January 2, 2008: Request for the status. No response.
January 4, 2008: Request for the status. No response.
January 11, 2008: Request for the status. No response.
January 15, 2008: Request for the status. Automated response.
January 18, 2008: Google security team informs that don't expect
behaviour to change in the short term giving
the justification.
We deconstruct those arguments as insufficient.
No more responses.
December 30, 2008: Request for the status. Confirmation from Google
they won't change the consideration about this.
January 11, 2009: Publication to Bugtraq. Rejected twice.
No reasons.
March 03, 2009: General publication for disclosure in other lists.

#31   #15 Sip, supongo que cuenta como vulnerabilidad porque consigue saltarse la restricción del captcha, con lo que dicho captcha no es útil para evitar búsquedas por fuerza bruta de passwords, ya que existe éste método.

De ahí a que alguien consiga sacar una contraseña por fuerza bruta...

#32   #28 juas, encima metiéndote con los frikis. Tú ya vas en plan suicida

#33   #17 Podría saber si la ha cambiado, o si la ha acertado, usando técnicas de Screen-Scraping, vamos, mirando a ver si en la web aparece (como dice la noticia original) "The password you gave is incorrect" o bien "Your new password has been saved - OK".
El autor también dice que si das una contraseña 'floja' y aciertas la original, se devuelve el mensaje "We're sorry, but you've selected an insecure password...". Con lo que sabrías que has acertado y no la llegas a cambiar.
Si bien acertar la original me parece dificil de narices, aunque podría tirar de diccionario y seguro que muchos caen/caemos, no se.

#34   #33 ¿Y el usuario va a estar recargando la página de ataque n veces hasta que funcione el robo de contraseñas?

Bff, veo taaaan complicado que llegase a funcionar.

#36   Esto es lo que se denomina una vulnerabilidad invulnerable¡¡¡

Lo único que te permite es hacer fuerza bruta y solo si el usuario esta mucho rato en la página y recargándola, porque ni siquiera hay un script que haga un bucle o algo. Ahm y tambien tiene que estar en Gmail¡¡¡
¿¿cuantas aplicaciones online permiten ataques de fuerza bruta???
¿¿Es eso una vulnerabilidad en si??

Respuesta de Google : No response ¿Porque será?

#39   #37 Sip, algo parecido a lo que usan en facebook y alguna otra web para hace el login, mejor que los captchas.

#40   SOLUCIÓN: Limpiar la cache del navegador antes de ver pr0n (CTRL+MAYÚS+SUPR en Firefox)

#41   #28 esto pasa por decirle esas cosas a alguien que usa el correo para trabajar no para enviar correos en cadena a sus coleguillas

#43   #42 mi problema? que este es un post tecnico y tu hablas de preferencias meramente personales sin un juicio profesional, ninguno mas, no es nada en contra tuyo

#45   #44 este va a ser mi ultimo comentario, lo que has hecho tu en el comentario que ( segun tu ) era coña y por el cual te han frito a negativos, tiene un nombre, demagogia, decir de que es mejor hotmail solo por haber salido un fallo a la luz de gmail, es pura demagogia, y hay gente un poco cansada de eso por mucho que dijeras que era una broma.

Y sobre lo que tu dices de que estamos haciendo publicidad, no lo es, yo creo que simplemente son analisis objetivos, lo que quizas son en base de necesidades mas complejas que las de matar el rato mirando el correo de los colegas, una vez dicho esto no pienso proseguir con un flaming tan absurdo. fin por mi parte aunque sin ninguna acritud

#47   #33, pero... la pregunta para mí es.

¿Cómo consigues información sobre un iframe?

Que yo sepa no se puede conseguir. Si se pudiera, se podrían leer los correos de la gente, por ej. abriendo mail.google.com/mail/?source=navclient-ff#inbox directamente y leyendo el contenido.

Lo que no termino de entender es cómo leen la información contenida en los iframes.

¿Me equivoco?

Por lo que veo, para hacer screen-scrapping se necesita poder hacer un screenshot de la página.

#48   Para que cambiar el password si se tiene la posibilidad de conocer el original por medio de fuerza bruta, al menos que el interés sea inhabilitar la cuenta y no solo espiarla.

#49   #23, me parece que somos aquí más papistas que el papa. El chaval hace un comentario, que se puede incluso tomar de forma irónica, si no es así ,qué, ¿se mete con alguien?.

Incluso si piensas que él está equivocado, puedes ignorarlo, o contestarle dando tu punto de vista, tan válido como el suyo. Ya que siento decirte, que ni tus palabras ni las mias son ley.

Por cierto, tu comentario #23, me parece más ofensivo que los dos que ha hecho ese usuario, aun así no te votaré negativo.

#50   #49 A mí lo que me parece es que no sabes lo que es un troll. Y los habituales de aquí sabemos perfectamente cuál es la actitud del usuario al que critico.

Pero bueno, es normal, es la visión de alguien que no anda informado de ciertas triquiñuelas (ni falta que hace que lo esté).