Oren Hafif, un investigador de seguridad ha descubierto una vulnerabilidad crítica en el proceso de restablecimiento de la contraseña de la cuenta de Google que permite a un atacante secuestrar cualquier cuenta.
Se las arregló para engañar a los usuarios de Google para que entreguen sus contraseñas a través de un ataque de phishing de lanza sencilla mediante el aprovechamiento de una serie de fallos, es decir, Cross-site request forgery (CSRF), y cross-site scripting (XSS), y un desvío de flujo.
En una prueba de concepto demostración en video, el atacante envía a su víctima una falsa “Confirmar propiedad de la cuenta” de correo electrónico, que dice provenir de Google.
La mención de enlace en el correo indica al destinatario para confirmar la titularidad de la cuenta e instó usuario cambiar su contraseña.
El enlace desde el correo electrónico aparentemente apunta a una URL HTTPS google.com, pero en realidad lleva a la víctima a la página web del atacante debido a un ataque CSRF con una dirección de correo electrónico personalizado.
La página de Google HTTPS se pedirá a la víctima para confirmar la propiedad mediante la introducción de su última contraseña y luego le pedirá para restablecer tu contraseña.
Pero en realidad el hacker a robado la nueva contraseña y galletas información mediante un ataque XSS en este paso.
Hafif informó a los ingenieros de Google Security con los detalles de esta vulnerabilidad de seguridad seria y Google ahora se ha ocupado de las cuestiones de parcheo. Google ha premiado el Sr. Hafif con 5.100 dólares bajo su Programa de Recompensas por Bug.