Google tiene un agujero de seguridad pero no lo va a arreglar

Un analista de seguridad británico ha descubierto que cualquiera puede cambiar la ruta que redirige desde la web de login de Google
Google cree que no es necesario hacer nada y considera que la redirección abierta “puede ser alterada de muchas formas” y que son los usuarios quienes deben prestar atención

31 de agosto de 2016 13:57h

Ha sido un analista de seguridad británico, Aidan Woods, el primero en descubrir el enésimo fallo de seguridad de Google. Es una vulnerabilidad que, si bien no conlleva un riesgo directo hacia los usuarios, permite que cualquier atacante con un poco de mala uva e ingenio pueda introducir malware o hacer que la víctima se descargue el archivo erróneo.

Woods notificó el bug a Google poco después de descubrirlo, pero tras analizarlo la empresa de Larry Page y Sergéi Brinn le contestó que no pensaban solucionarlo porque, según theregister, “sería obvio para la gente que están en un formulario compartido y no en una página oficial de Google”. La multinacional cree que la redirección abierta “puede ser alterada de muchas formas” y que son los usuarios quienes deben prestar atención de a qué sitios navegan o son redirigidos. Así que la falla de seguridad sigue activa y puede ser aprovechada por cualquiera para redirigir a la víctima a una URL que no sea la original.

¿Cómo funciona?

Woods ha subido un vídeo a YouTube en el que explica cómo hacerlo. Solo funciona con páginas cuyo dominio sea .google.com, pero teniendo en cuenta que más de 1.000 millones de personas en todo el mundo utilizan cuentas Gmail, no habría que tomarlo a la ligera. La dirección de la web de login de Google es la siguiente:

https://accounts.google.com/ServiceLogin?continue=https://www.google.com/#identifier

Si cambiamos “continue=https://www.google.com” por una dirección de Google Drive que enlace a un contenido infectado o a un malware, cuando la víctima haga click en el enlace, estará logeándose en Google y accediendo, a su vez, al archivo maligno.

¿Cómo hacerlo?

Lo primero es crear un formulario en Google Forms. Vamos a llamarlo “Elformulariodelmalware”. En él, pregunta cosas que la potencial víctima respondería a Google si la empresa se lo pidiese, como por ejemplo la fecha de nacimiento, su pregunta secreta para recuperar la cuenta o su contraseña. Después, guarda el formulario y configúralo como público.

Una vez hecho el formulario, guárdalo en Google Drive y copia la dirección que dirige al archivo. Es en esta ruta donde se encuentra el quid de la cuestión: cambiando la línea anteriormente citada por esta “continue=https://docs.google.com/forms/elformulariodelmalware.doc”, al pinchar la víctima en la dirección completa, que sería

https://accounts.google.com/ServiceLogin?continue=https://docs.google.com/forms/elformulariodelmalware.doc

le llevaría directamente a abrir el archivo. Woods también señala que se puede conseguir que la víctima descargue directamente el malware cambiando la ruta por

uc?id=[elformulariodelmalware.doc]&export=download

Muchas páginas de phising podrían aprovechar el bug de Google para “colarnos” un falso acceso a la página de Gmail para después hacernos descargar un archivo infectado. Para evitarlo, hasta que Google decida actuar parcheando la vulnerabilidad, lo mejor es no instalar programas de fuentes desconocidas y revisar siempre la barra de dirección de nuestro navegador para comprobar que estamos en la web que queremos.