• Tweet

El fallo de cross-site scripting en la versión móvil de la mensajería de Google y la aplicación de redes sociales, fue reportado a la compañía poco después de ser descubierto, se dijo en un comunicado el miércoles.

"Hemos reparado la vulnerabilidad que podría haber afectado a los usuarios de Google Buzz con móviles el 16 de febrero, horas después se nos informó a nosotros", dijo Google. "No tenemos ninguna indicación de que la vulnerabilidad haya ocasionado abusos. Entendemos la importancia de la seguridad de nuestros usuarios, y estamos comprometidos a seguir mejorando la seguridad de Google Buzz".

Una fuente cercana a Google dijo que el fallo no habría permitido un acceso externo a Gmail o Google Docs

El fallo fue hecho público el martes por Robert Hansen, director ejecutivo de SecTheory, una empresa de seguridad de red. Hansen posteo en un blog que el defecto en la plataforma de m.google.com es un ejemplo de una "mala validación de entrada/codificación de salida" que podría haber sido utilizada para secuestrar las cuentas de Buzz, insertar scripts maliciosos en páginas web de Google y hasta crear páginas de phishing dentro del dominio de Google.

El fallo fue descubierto por el investigador de seguridad "TrainReq", quien dijo en respuesta a la entrada en el blog de Hansen, que la vulnerabilidad radica en la forma de las cabeceras HTTP debido a que podrían ser editadas.

Desde su lanzamiento el 9 de febrero, Google Buzz ha sido objeto de ataques hacia la privacidad, la compañía ha realizado cambios en respuesta a las quejas de los usuarios respecto a la configuración por defecto.