Un agujero en la seguridad de Gmail, el servicio de correo web
gratuito de Google, permite el acceso a las cuentas de usuario
de terceros, sin necesidad de conocer la contraseña, según
publica una revista israelí.
"¿Usted obtuvo recientemente una cuenta de Gmail, o quizás
usted recibió una invitación para sacar otra?, pues hay malas
noticias, su casilla de correo está expuesta", afirma la
publicación Nana NetLife Magazine.
Las declaraciones publicadas corresponden a Nir Goldshlagger,
un conocido hacker israelí. "Todos sus datos podrían estar
expuestos públicamente. Sus correos podrían estar siendo
leídos por desconocidos, y además, cualquiera podría enviar y
recibir mensajes en su nombre", dice Goldshlagger.
"Aún más alarmante", explica, "es el hecho que hacer esto es
bastante sencillo para un pirata informático, si tiene el
conocimiento de la técnica específica para hacerlo y el nombre
de usuario de la víctima".
Google confirmó el fallo, que aún no está solucionado. En el
reporte publicado no se dan más detalles de esta debilidad,
salvo el hecho de que se basa en obtener las cookies
relacionadas con la víctima, por medio de un enlace
maliciosamente construido que apunta a Gmail.
Y de nada vale cambiar la contraseña, ya que esta técnica
permite que una vez que se ha obtenido esta cookie, cualquiera
podrá ingresar a esa cuenta sin necesidad de password alguno.
Puede ser probable que algunos piratas ya hayan utilizado este
método para acceder a las cuentas de usuarios que aún ignoran
el peligro que corren.
Según el informe, el problema puede ser mayor de lo que se
piensa. Como Gmail ofrece un gigabyte de espacio de
almacenamiento, muchos usuarios no borran su correspondencia
antigua, o usan ese espacio para almacenar otros documentos
privados, incluyendo contraseñas y otra información crítica.
Se trata de una grave amenaza, ya que los usuarios
prácticamente no tienen forma de protegerse (no importa el
cambio de contraseñas), es relativamente fácil explotarlo, y
permite el robo de identidad (el atacante puede no solo enviar
mensajes desde la cuenta de su víctima, sino acceder a todas
las respuestas enviadas a la cuenta secuestrada).
No sería aventurado afirmar que es solo cuestión de tiempo
para que alguien pueda crear una herramienta automática que
sirva para aprovecharse de este fallo.
"La única solución por el momento es no utilizar Gmail para
almacenar mensajes ni archivos que puedan ser utilizados
maliciosamente. Por lo menos hasta que Google se ocupe de este
problema", afirma la publicación.
Además se debe considerar que cualquiera podrá tomar la
personalidad de quien tenga una cuenta en Gmail, haciéndose
pasar por él en cualquier momento.
* Más información:
Google Flaw Lets Remote Users Hijack Accounts
http://securitytracker.com/alerts/2004/Oct/1012001.htmlNoticia recogida de VSAntivirus.com
