Nov 8 2016

vulnerabilidad gmail

Investigador descubre una vulnerabilidad en Gmail relativa al proceso de verificación de cuenta que permite el robo de cuentas ajenas sin grandes conocimientos.

A veces son las propias empresas las que, sin quererlo, abren una puerta trasera para que cualquier hacker pueda entrar a sus servicios, incluso poniendo en jaque información comprometida de los usuarios. Un investigador de seguridad pakistaní ha descubierto una importante vulnerabilidad en Gmail que permite a cualquier persona robar cuentas de correo ajenas sin tener muchos conocimientos de informática.

Las grandes compañías cuentan con programas de recompensas destinados a evitar que vulnerabilidades en sus servicios sean expuestos y aprovechados por los hackers o en el mercado oscuro de la red. El programa de recompensas de Google invita a cualquier persona, especialmente a investigadores de seguridad, a que encuentren cualquier vulnerabilidad en sus servicios a cambio de recompensas de hasta 20.000 dólares.

El pakistaní Ahmed Mehtab, investigador y también CEO de Security Fuss, ha encontrado una vulnerabilidad relativa al proceso de verificación de Gmail que permite a cualquier atacante tomar control de una cuenta deseada.

Todos sabemos que Google permite a una sola persona asociar todas sus cuentas de correo de Gmail para realizar una serie de acciones conjuntas, incluida la recuperación de cuentas. Pues este proceso de verificación de Gmail es vulnerable pudiendo secuestrar la ID de una cuenta ajena con un sencillo procedimiento.

Lo primero, para que esto sea posible, el destinatario del SMTP no debe estar conectado, o que haya desactivado la cuenta, o que no exista el ID  donde enviar el mensaje de confirmación o que el destinatario haya bloqueado previamente al remitente.

Si se cumple una de ellas, el atacante confirma la propiedad del correo enviando un email a Google, mientras que el buscador enviará una respuesta a dicha dirección para su confirmación. La nueva dirección será incapaz de recibir el correo de confirmación con lo que se devuelve el mensaje al original con un código que podría ser usado por el atacante para acabar el proceso con el robo de cuenta de Gmail.

Mostrar Fuente de Informacion10

PGEgdGFyZ2V0PSJfYmxhbmsiIGhyZWY9Imh0dHA6Ly9jb21wdXRlcmhveS5jb20iIHRhcmdldD0iX2JsYW5rIj5GdWVudGU8L2E+

Argos32 es author


a creado 515 posts en Compartiendo Full.


Mensaje Privado
+7 Puntos Dar un voto NegativoDar un voto Positivo de 8 Votos
Loading...
Visitas 131


Deja un Comentario

Tu debes estar logueado para comentar este post.

Omaredomex