Una herramienta que roba automáticamente los Identidades no cifradas de las sesiones y rompe las cuentas de correo Google ha sido presentada recientemente en la conferencia de Las Vegas a los hackers de Defcon.

La semana pasada, Google presentó una nueva funcionalidad en Gmail que permite a los usuarios cambiar en forma permanente y el uso de SSL para cada acción relacionada con Gmail, y no sólo la autenticación. Los usuarios que no lo activan ahora tienen una grave razón para hacerlo como afirma Mike Perry, experto en la ingeniería inversa de San Francisco que ha desarrollado la herramienta y planea de liberarla en Internet en dos semanas.

Al acceder a Gmail la página web envía una cookie (un archivo de texto) que contiene su ID de sesión para el navegador. Este archivo hace posible que el sitio web sepa que estés autenticado y te mantiene conectado durante dos semanas, a menos que tú manualmente pulse la tecla para salir. Al acceder este cookie se elimina.

Aunque al acceder a, Gmail obliga a más de una autenticación SSL (Secure Socket Layer), tú no estás seguro, ya se establece una relación después de cifrar la autenticación y se vuelve regular. Según Google este comportamiento fue escogido debido al bajo de ancho de banda de los usuarios, como SLL conexiones que son más lentas.

El problema radica en el hecho de que cada vez que tenga acceso a Gmail, incluso a una imagen, el navegador también envía un cookie al sitio web. Esto hace posible que un atacante espié las comunicaciones del tráfico en la red con un Sniffer, y pueda insertar o servir una imagen de http://mail.google.com y forzar su navegador para enviar el archivo del cookie, por lo tanto, puede obtener su período de sesiones de identificación. Una vez que esto ha sucedido el atacante puede acceder a la cuenta sin la necesidad de una contraseña. La personas que tienen Internet Wifi y consultan su e-mail desde inalámbricas públicas son, evidentemente, las que mayor probabilidad de ser atacadas que los que utilizan las redes cableadas que son mucho mas seguras.

Perry dijo que le notificó a Google sobre esta delicada situación hace más de un año y aunque el tiempo ha transcurrido, esta opción sigue disponible, no está satisfecho con desinformación. "Google no ha explicado por qué utilizar esta nueva función es tan importante", dijo. Él continuó y explicó las consecuencias de no informar a los usuarios, "Esto da a las personas que habitualmente acceden a Gmail en un principio desde la dirección https: / / un período de sesiones, y un falso sentido de seguridad, porque piensan que están seguros pero realmente no lo están. "

Si accedes a tu cuenta de Gmail desde distintos lugares y te gustaría beneficiarte de esta opción sólo cuando estás usando redes sin garantía, puede obligarte a escribir manualmente la dirección https: / / mail.google.com antes de que accedas pulg. Esto de acceder a la versión de SSL Gmail será persistente durante todo tu período de sesiones y no sólo durante la autenticación.

¿Te gusta este artículo? Compártelo con tus amigos!