Gmail es el servicio de correo electrónico más popular del mundo, también es conocido como uno de los más seguros. Pero un exploit peligroso podría hacer que reconsideres cómo quieres usar el servicio en el futuro
En una publicación de blog reveladora, el investigador de seguridad Youssef Sammouda reveló que el código de autenticación OAuth de Gmail le permitió explotar vulnerabilidades en Facebook para secuestrar cuentas de Facebook cuando las credenciales de Gmail se usan para iniciar sesión en el servicio. Y las implicaciones más amplias de esto son significativas.
En declaraciones a The Daily Swing , Sammouda explicó que pudo explotar los redireccionamientos en Google OAuth y encadenarlo con elementos de los sistemas de cierre de sesión, punto de control y sandbox de Facebook para acceder a las cuentas. Google OAuth es parte del estándar de ' Autorización abierta ' utilizado por Amazon, Microsoft, Twitter y otros que permite a los usuarios vincular cuentas a sitios de terceros iniciando sesión con los nombres de usuario y contraseñas existentes que ya han registrado con estos gigantes tecnológicos.
Sammouda no informa vulnerabilidades al utilizar otras cuentas de correo electrónico. Él enfatiza que potencialmente podría aplicarse más ampliamente "pero eso fue más complicado para desarrollar un exploit". Afirma que Facebook le pagó una 'recompensa por errores' de $44,625 por su papel en esta vulnerabilidad. Posteriormente, Facebook reparó la vulnerabilidad de su lado. Me puse en contacto con Google para obtener una respuesta sobre el papel de Google OAuth en el exploit y actualizaré esta publicación cuando reciba una respuesta.
Al comentar sobre los hallazgos de Sammouda, el proveedor de seguridad Malwarebytes Labs emitió una advertencia a cualquiera que use cuentas vinculadas: "Las cuentas vinculadas se inventaron para facilitar el inicio de sesión", escribe Pieter Arntz, investigador de inteligencia de malware de la compañía. "Puede usar una cuenta para iniciar sesión en otras aplicaciones, sitios y servicios... Todo lo que necesita hacer para acceder a la cuenta es confirmar que la cuenta es suya".
"No lo recomendaríamos porque si alguien obtiene la única contraseña que los controla a todos, se encontrará en un problema aún mayor que si solo la contraseña de un sitio se ve comprometida", explica.
Para aquellos preocupados por la seguridad de las cuentas vinculadas, tenga en cuenta que es posible desvincularlas de Facebook. Vaya a: Configuración y privacidad > Configuración > botón Centro de cuentas > Cuentas y perfiles . Se puede usar un proceso de desvinculación similar en otros sitios de terceros si actualmente está iniciando sesión en ellos con las credenciales de Amazon/Google/Microsoft/Twitter.
Todo lo cual plantea un serio dolor de cabeza entre la comodidad y la seguridad. Después de todo, pueden haber sido las credenciales de Gmail esta vez, pero podrían ser otros socios de OAuth a continuación. Sea cual sea tu decisión, estás advertido.
Historias relacionadas :
OnMail : lanzó con soporte para iCloud Outlook, Gmail, Yahoo y más
Apple obligó a ProtonMail a introducir compras en la app
Gmail : ¿ Cómo elimimar automaticamente los correos no deseados?
Google : ahora convierte a 'GMAIL' en un mensajero de las llamadas de voz ...
Gmail : disponible la autentificación de dos factores
Gmail: Recupera su antiguo botón de redactar.
Gmail: Sufre una interrupción en La India
5 trucos para liberar espacion en Gmail
[Fuente]: forbes.com
Solen Feyissa.( 21 de Mayo de 2022).Gmail aplicación. Modificado por Carlos Zambrado Recuperado unsplash.com