Un investigador de seguridad pakistaní descubrió una importante vulnerabilidad en Gmail que permite a cualquier persona robar cuentas de correo ajenas sin tener muchos conocimientos de informática.
Las grandes compañías cuentan con programas de recompensas destinados a evitar que vulnerabilidades en sus servicios sean expuestos y aprovechados por los hackers o en el mercado oscuro de la red. El programa de recompensas de Google invita a cualquier persona, especialmente a investigadores de seguridad, a que encuentren cualquier vulnerabilidad en sus servicios a cambio de recompensas de hasta 20 mil dólares.
El pakistaní Ahmed Mehtab, investigador y también CEO de Security Fuss, ha encontrado una vulnerabilidad relativa al proceso de verificación de Gmail que permite a cualquier atacante tomar control de una cuenta deseada.
Todos sabemos que Google permite a una sola persona asociar todas sus cuentas de correo de Gmail para realizar una serie de acciones conjuntas, incluida la recuperación de cuentas. Pues este proceso de verificación de Gmail es vulnerable pudiendo secuestrar la ID de una cuenta ajena con un sencillo procedimiento.
Lo primero, para que esto sea posible, es que el destinatario del SMTP no esté conectado, o que haya desactivado la cuenta, o que no exista el ID donde enviar el mensaje de confirmación o que el destinatario haya bloqueado previamente al remitente.
Si se cumple una de ellas, el atacante confirma la propiedad del correo enviando un email a Google, mientras que el buscador enviará una respuesta a dicha dirección para su confirmación. La nueva dirección será incapaz de recibir el correo de confirmación con lo que se devuelve el mensaje al original con un código que podría ser usado por el atacante para acabar el proceso con el robo de cuenta de Gmail.
Con información de Computerhoy