Gmail encara està afectat per una suposada vulnerabilitat que va ser descoberta al 2007 per l’espanyol Vicente Aguilera, això és simplement perquè l’equip de google no li ha donat importància dient que era difícilment explotable.
Aguilera, al veure que no han fet res per solucionar-ho ha publicat una descripció més detallada.
M’he documentat una mica i he trobat un comentari a SoftwareZone, que feia referència a un altre de kriptòpolis (aquest últim anònim), on s’explica força bé el perquè no és preocupant i per tant google no en fa cas.
L’explico en català:
Intentarem explicar la suposada vulnerabilitat, que como el propi autor comenta ha estat rebutjada dues vegades per ser publicada a Bugtraq i l’han agut de publicar en una llista sense moderació (full-disclosure).
1. Existeix un XSRF a Gmail?
No. Un XSRF només existeix quan no hi ha cap mecanisme de verificació que permeti determinar que una acció concreta ha estat realitzada per l’usuari legítim.
En aquest cas concret, i com es veu en el vector d’atac:
img src="https://www.google.com/accounts/UpdatePasswd?service=mail&hl=en&group1=OldPasswd&OldPasswd=PASSWORD1&Passwd=abc123&PasswdAgain=abc123&p=&save=Save"És necessari conèixer la contrasenya de l’usuari per tal de que l’atac sigui possible.
Per tant existeix un mecanisme de control que verifica que l’acció l’ha fet l’usuari en qüestió: la seva contrasenya.
2º ¿És el millor mecanisme par a evitar XSRF i controlar la sessió?
No. El mecanisme ideal par a evitar XSRF seria un ID aleatori d’un sol ús i 16 bytes de longitud, activat quan l’usuari legítim invoqui l’acció EditPasswd i verificat per l’acció UpdatePasswd.
3º ¿Això constitueix una vulnerabilitat?
De tipus XSRF no. És una vulnerabilitat que com a molt, podrà ser catalogada de “debilitat menor en el control de sessió” i el seu impacte és molt baix (sinó simplement informatiu).
4º ¿Això ha de preocupar a l’usuari de GMAIL?
No. La longitud mínima d’una contrasenya de GMAIL és de 8 caràcters. I encara que no sigui el millor sistema, la possibilitat de modificar la contrasenya amb aquest tipus d’atac és d’1 sobre 281474976710656, i això si no contem que lo seu és que la contrasenya sigui més llarga, amb números, lletres majúscules i minúscules símbols….
A més de tot això, el vector d’atac en cas d’èxit, hauria modificat la contrasenya d’un usuari però sense saber quin.
5º Conclusió
Aquesta “vulnerabilitat” d’impacte molt baix, només permetria un atac en funció de lo robusta que sigui la contrasenya (1 sobre 281474976710656 possibilitats d’encertar-la en cada atac).
A més d’això, al ser un atac passiu, l’usuari ha de visitar una web maliciosa que el realitzi.
L’únic “avantatge” d’aquest atac sobre provar contrasenyes a l’atzar és que no cal saber el nom d’usuari per realitzar-lo.
D’altra banda com ja hem dit això mateix vol dir no saber a qui s’ha atacat, per tant la seva utilitat és nul·la en un escenari real.
Així doncs sembla ser que els enginyers i hackers de Google saben el que es fan. Podem estar tranquils, però de tota manera no ens podem confiar, sempre s’han de fer servir contrasenyes complicades i no repetir massa.
Deixa un comentari