Con el fin de mantener a los usuarios a salvo de posibles ataques cibernéticos, muchos e importantes sitios web han implementado programas específicos para que los programadores principiantes, hackers «fiables» e investigadores de seguridad, tengan la oportunidad de descubrir y resolver fallos de seguridad antes de que el público sea consciente de ellos.

Uno de esos gigantes de Internet es Google, que invita a investigadores de todo el mundo a descubrir fallos en sus aplicaciones, extensiones o software más recientes o ya existentes, premiando a cualquier persona que encuentre un error legítimo que podría ser explotado. El objetivo principal de estos programas es hacer que las aplicaciones y sistemas de Google sean más seguros y estén más protegidos.

Pues bien, recientemente, Ahmed Mehtab, estudiante pakistaní y CEO de la firma Security Fuss, fue incluido en el Salón de la Fama de Google por su contribución en el Programa de Vulnerabilidad de Recompensas (VRP) de la compañía. Esto lo ha logrado gracias a que descubrió una importante vulnerabilidad que en el caso de que se identifique como válida, el hacker podría recibir como recompensa hasta 20.000 dólares por parte de Google.

Partamos de la base de que si un usuario tiene más de una dirección de correo electrónico, Google permite asociar o vincular todas ellas y que trabajen de manera conjunta en determinados casos. Debido a ello, Ahmed encontró una forma de probar que estos métodos adoptados por Google eran vulnerables frente a una autenticación o verificación bypass, lo que podría desembocar en un secuestro de ID del correo electrónico. Eso sí, para que esto pueda llevarse a cabo, es imprescindible que el destinatario del SMTP no esté conectado, o que este haya desactivado su cuenta de correo, no exista el ID donde mandamos el mensaje o que el destinatario haya bloqueado previamente al remitente.

Su funcionamiento se basa en que el atacante intenta confirmar la propiedad de una dirección de correo enviando un e-mail a Google y el buscador envía la respuesta a esa dirección para confirmar. Esta nueva dirección no es capaz de recibir el correo de confirmación, por lo que este se devuelve al remitente real con un código de verificación. El problema viene cuando el posible atacante toma ese código de verificación y confirma su propiedad para esa dirección en concreto, robando de ese modo la identidad original.

Esta no es la primera vez que un hacker pakistaní informa acerca de un fallo grave de seguridad, tenemos el ejemplo de Rafay Baloch, que recibió 5.000 dólares de recompensa por reportar errores en Chrome y FireFox además de otros 10.000 por revelar una vulnerabilidad de ejecución en PayPal.

 

Fuente: Techworm | adslzone