Fallos en el código de autenticación de Gmail
Gmail es el servicio de correo electrónico más popular del mundo, también es conocido como uno de los más seguros. Pero un peligroso exploit podría hacer que te replantees cómo quieres utilizar el servicio en el futuro.
En una reveladora entrada, el investigador de seguridad Youssef Sammouda ha revelado que los fallos en el código de autenticación de Gmail le permitieron aprovechar las vulnerabilidades de Facebook para secuestrar cuentas, cuando se utilizan las credenciales de Gmail para iniciar sesión en el servicio. Y las implicaciones más amplias son significativas.
En declaraciones a The Daily Swing, Sammouda explicó que pudo aprovechar las redirecciones de Google OAuth y encadenarlas con elementos de los sistemas de cierre de sesión, control y sandbox de Facebook para entrar en las cuentas. Google OAuth forma parte del estándar «Open Authorization» utilizado por Amazon, Microsoft y Twitter, entre otros, que permite a los usuarios vincular cuentas a sitios de terceros iniciando sesión en ellos con los nombres de usuario y contraseñas que ya han registrado en estos gigantes tecnológicos.
Exploit podría haberse utilizado de forma mucho más amplia
Sammouda advirtió que el exploit podría haberse utilizado de forma mucho más amplia y confirmó que este mes Facebook le pagó 44.625 dólares de recompensa por su descubrimiento. Posteriormente, Facebook ha parcheado la vulnerabilidad por su parte. Me he puesto en contacto con Google para obtener una respuesta sobre el papel de Google OAuth en el exploit y actualizaré este post cuando o si recibo una respuesta.
Comentando los hallazgos de Sammouda, el proveedor de seguridad Malwarebytes Labs emitió una advertencia a cualquiera que utilice cuentas vinculadas: «Las cuentas vinculadas se inventaron para facilitar el inicio de sesión«, escribe Pieter Arntz, investigador de inteligencia de malware de la empresa. «Puedes utilizar una cuenta para iniciar sesión en otras aplicaciones, sitios y servicios… Todo lo que tienes que hacer para acceder a la cuenta es confirmar que la cuenta es tuya«.
«No lo recomendaríamos porque si alguien se hace con la única contraseña que los controla a todos, te metes en un problema aún mayor que si se compromete la contraseña de un solo sitio«, explica.
Si esta noticia te incomoda, ten en cuenta que es posible desvincular las cuentas, incluyendo Google OAuth, de Facebook. Navega a: Configuración y Privacidad > Configuración > Botón del Centro de Cuentas > Cuentas y Perfiles. Un proceso de desvinculación similar puede utilizarse en otros sitios de terceros en los que ya se inicie sesión con credenciales de Amazon/Google/Microsoft/Twitter.
Todo esto causa a los usuarios cotidianos un serio dolor de cabeza de conveniencia Vs seguridad. Al fin y al cabo, puede que esta vez hayan sido las credenciales de Gmail, y puede que después sean otros socios de OAuth. Sea cual sea tu decisión, estás avisado.
