Herramienta para hackear Gmail

Una herramienta que automáticamente roba los ID de sesiones no cifradas y permite usurpar una cuenta de correo Google se ha presentado a los hackers en la última conferencia Defcon en Las Vegas.

La semana pasada, Google presentó una nueva funcionalidad en Gmail que permite a los usuarios cambiar en forma permanente y el uso de SSL para cada acción relacionada con Gmail, y no sólo, la autenticación. Los usuarios que no activaron esa opción, ahora tienen una gran razón para hacerlo. Ya que Mike Perry, el autor de dicha herramienta esta planificando liberarla dentro de dos semanas.

Al acceder a Gmail, la página web envía una cookie (un archivo de texto claro) que contiene el ID de la sesión hacia el navegador. Este archivo hace posible que el sitio web pueda saber que usted está autenticado y mantenerlo conectado durante dos semanas, a menos que usted manualmente pulse la tecla para salir. Cuando usted cierra su sesion este cookie se elimina.

Aunque al acceder a Gmail se obliga a usar la autenticación a través del cifrado SSL (Secure Socket Layer), usted no está seguro, ya que vuelve a la forma regular después (sin cifrado) luego de la autenticación. Según Google este comportamiento fue escogido debido a los bajos de ancho de banda los usuarios, ya que las conexiones SSL son más lentas.

El problema radica en el hecho de que cada vez que accede a Gmail, incluso para ver una simple imagen, el navegador también envía la cookie al sitio web de Google. Esto hace posible que un atacante haga un sniffing (huela) de tráfico en la red para insertar una imagen que sirve el URL http://mail.google.com y fuerza al navegador a enviar el archivo del cookie, por lo tanto, obtener su período de sesiones de identificación. Una vez que esto sucede el atacante puede acceder a la cuenta sin la necesidad de una contraseña. Las personas que leen sus e-mail desde redes wifi (inalámbricas) públicas son más vulnerables a éste tipo de ataques que los que utilizan las redes cableadas.

Perry dijo que notificó a Google sobre esta situación hace más de un año y aunque Google ha hecho esta opción disponible (usar sesiones SSL), no está satisfecho con la falta de información. "Google no ha explicado por qué utilizar esta nueva función es tan importante", dijo. Perry explicó que las consecuencias de no informar a los usuarios son que: "Esto da a las personas que habitualmente acceder a Gmail con un URL que comienza con https: / /  un falso sentido de seguridad, porque piensan que están seguros aunque realmente no lo están. "

Si usted accede a su cuenta de Gmail desde distintos lugares y le gustaría beneficiarse de esta opción sólo cuando usted está usando redes sin garantía, puede forzarlo manualmente usando la siguiente dirección https://mail.google.com. Esto acceder a la versión de Gmail con SSL y será persistente durante todo su período de sesiones y no sólo durante el proceso de autenticación.

Nota: Traducido y adaptado de la versión original en inglés encontrada en hacking truths.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.