• Tweet

Investigadores de NBlack Hat dicen que quienes usan Google y específicamente Gmail son más vulnerables a ataques desde un "hueco" en los Gadgets de Google

Los que gustan de los Gadgets se sorprendieron el miércoles cuando dos investigadores dieron a conocer lo que llamaron un "hueco" durante una presentación de Black Hat.

"El atacante puede puede forzar la instalación de los Gadgets de Google; pueden leer el historial de búsqueda de la víctima una vez que un Gadget malicioso ha sido instalado en ciertas circunstancias específicas; pueden atacar a otros Google Gadgets; pueden falsear nombres de usuario y contraseñas de las víctimas, entre otras cosas", dijo Robert Hansen, también conocido como RSnake, un antiguo consultor de seguridad en SecTheory. "En verdad, el cielo es el límite, una vez que el navegador esta bajo el control de un atacante. Este punto se agrava por el hecho de que la gente confía en Google por ser un dominio confiable, haciéndolo mucho más fácil para los atacantes".

Hansen dijo que los usuarios que son más vulnerables a ser atacados son aquellos que usan Google y especialmente Gmail pues el servicio de correo electrónico basado en Internet requiere que los usuarios inicien sesión. El ataque depende de que los usuarios agreguen intencionalmente módulos ellos mismos; un usuario puede ser engañado al agregar módulos maliciosos de Google en su página inicial. "La mayoría de estos usuarios usan JavaScript y navegadores Web normales, haciendo sencillo que caigan en diferentes tipos de ataque", agregó.

Tom Stracener, analista senior de seguridad en Cenzic y co-presentador de la plática, señaló lo siguiente:

- Los Gadgets pueden atacar a otros Gadgets: el impacto potencial de estos ataques podría ser de robo de Cookies o de información confidencial o personal del Gadget o del usuario.

- Los Gadgets pueden atacar al usuario: El rango de tipos de ataque va desde phishing a peticiones falsas hacia otros sitios (cuando un usuario sigue un enlace o da clic a una forma y sin darse cuenta realiza una acción en un tercer sitio Web sin la intención de hacerlo).

- Agregar automáticamente un Gadget: Un sitio Web malicioso puede agregar un Gadget a la página de inicio iGoogle de la cuenta de usuario sin su consentimiento y contribuir en la propagación del malware basado en el Gadget.

- Iniciar sesión en una cuenta alterna de Google: Un Gadget puede iniciar sesión en una cuenta diferente de Google y monitorear su historial de búsquedas.

"Si bien el impacto empresarial del malware de los Gadgets de Google es mínimo en este momento", dice Stracener, "Si el uso de los Gadgets de Google cambia de clientes a empresas, el riesgo para las empresas crecerá".