Nuevo agujero en las cuentas de Google

En Dirson cuentan con bastante detalle cómo se ha descubierto (y posteriormente subsanado) una nueva vulnerabilidad en las cuentas de Google que utilizando técnicas de Cross-Site Scripting (XSS) y aprovechando un fallo en la nueva funcionalidad de Blogger que permite alojar dominios propios de los usuarios, un atacante podría llegar a crear una página maliciosa con un subdominio del tipo *.google.com (lo cual ya genera cierta confianza en el sitio, que “parece” de Google) y mediante XSS hacerse con la información de las cookies que el usuario guarda relacionadas con este domino (google.com) y que se corresponden con el abanico de servicios que actualmente ofrece Google. Incluso en una versión más simplificada, el atacante podría simplemente diseñar su página *.google.com con un look “tipo google” y capturar el login y contraseña del usuario (modalidad de phishing hospedado por Google que ya apareció como prueba de concepto hace unos meses) , con el evidente “destrozo” que podría causarle, especialmente si se trata de uno de los muchos usuarios que tienen su correo, sus búsquedas personalizadas, sus calendarios, sus contactos, documentos, etc. albergados en los servidores Google.

Este tipo de incidentes vuelve a abrir el debate sobre hasta qué punto podemos confiar nuestros datos privados a un servicio gratuito que puede convertirse próximamente en el principal objetivo de atacantes por un motivo fundamental: la gran cantidad de datos sensibles e información personal que puede obtenerse aprovechando una sola vulnerabilidad en uno sólo de los servicios que Google integra, principal inconveniente del Single Sign On o “contraseña única” que están incorporando cada vez más empresas.