Un fallo de seguridad ha sido descubierto en la consola de administrador de las aplicaciones de Google. Dada esta vulnerabilidad (XSS), los atacantes tenían la posibilidad de desactivar la autenticación en dos pasos (2FA), así como redirigir todos los mensajes de correo electrónico recibidos por una cuenta de Google.
El problema de seguridad fue descubierto por Brett Buerhaus, que notificó a la compañía de Mountain View el pasado 1 de septiembe y, en tan solo 17 días, fue solucionado por Google. Como recompensa por el hallazgo, los de Google han ofrecido al investigador 5.000 dólares, puesto que así lo estipulan en su programa de recompensas de fallos de seguridad. Según esta vulnerabilidad catalogada como crítica, un atacante podía forzar al administrador de cuentas de Google a ejecutar prácticamente cualquier solicitud.
Esta consola, el administrador de cuentas de Google, permite añadir nuevos usuarios, configurar los permisos de cada cuenta, administrar la configuración de seguridad y algunos otros parámetros que, en manos ajenas, comprometen gravemente la seguridad de los usuarios. El administrador de cuentas es utilizado, entre otros, por parte de empresas que utilizan el servicio de correo electrónico de la compañía de Mountain View -Google-, y sirve como panel de control para establecer configuraciones como las anteriormente mencionadas. Concretamente, según este fallo de seguridad los atacantes podían:
•Crear nuevos usuarios con permisos de administrador.
•Desactivar la autentificación en dos factores (2FA) y otros sistemas de seguridad previamente configurados.
•Redireccionar los buzones de correo electrónico para recibir todos los mensajes de una o varias cuentas de correo electrónico.
•Robar una cuenta de correo electrónico, restablecer la contraseña o desactivar los sistemas de seguridad de forma temporal.
Con respecto a este serio problema de seguridad, la compañía de Mountain View ha mostrado un comportamiento impecable. No sólo han cumplido con su programa de recompensas ofreciendo 5.000 dólares al investigador que les ha ofrecido información sobre la vulnerabilidad, sino que han ofrecido además una solución realmente rápida, en tan solo 17 días desde que fuese descubierto el agujero de seguridad. Ahora bien, lo que suena extraño es que Google mantiene a su equipo Project Zero investigando fallos de seguridad de Microsoft, pero su problema ha tenido que descubrirlo alguien ajeno a la compañía.
http://www.adslzone.net/2015/01/23/robar-cuenta-google-doble-autentificacion/