Google

Una vulnerabilidad de Google permite descargar malware al iniciar sesión

El analista de seguridad que detectó la falla informó a Google, pero la empresa decidió no hacer nada al respecto

gmail inicio sesion

El analista de seguridad Aidan Woods encontró una pequeña vulnerabilidad en la página de inicio de sesión de  que, aunque no afecta nuestra privacidad, pero permite que se pueda modificar la URL para hacer que nos descarguemos cualquier archivo en el momento que pulsemos sobre el botón Siguiente para indentificarnos.

Por raro que parezca, tras haberles notificado la vulnerabilidad desde Google le respondieron a Woods que tras analizarla habían decidido no solucionarla. Esto quiere decir que se podrá seguir aprovechando, por lo que merece la pena que sepamos cómo funciona y cómo evitarla para no acabar descargando ningún malware no deseado.

El problema reside en que Google permite introducir el parámetro “continue=[link]” en la URL de la página de identificación, que es el que le indica a la web a qué página redirigirnos una vez introduzcamos nuestras credenciales. Para tratar de evitar problemas, Google sólo permite introducir en ese parámetro direcciones que utilicen el dominio google.com.

Pero como vemos en el vídeo publicado por Woods, si alojamos un archivo en Google Drive y lo compartimos, la URL que se nos genera tendrá el dominio “drive.google.com”, por lo que se podrá enlazar en el parámetro para hacer que nos lo descarguemos. Con ello, un atacante podría subir malware a su Google Drive y luego darnos una URL enlazándolo para que lo bajemos.

LEA MÁS  Los trucos de Google Maps que quizás no conocías

¿Y qué peligros puede suponer esta vulnerabilidad? Pues que por ejemplo podría ser utilizado correos y páginas de phishing que nos ofrezcan un servicio y publicación avisándonos de que será necesario identificarnos con la página de Google. Si con ello hace que nos bajemos unos programas con un nombre sugerente o relacionado con un servicio prometido, muchos usuarios poco precavidos podrían acabar picando.

LEA MÁS  Tres páginas web para conseguir vuelos baratos siempre

Para evitarlo por lo tanto hay dos pasos sencillos, pero que que aun siendo aplicables a muchas vulnerabilidades no todo el mundo da. El primero es el de no instalar ningún programa que se descargue sin nuestro permiso, aunque como hemos visto se nos podría engañar para hacerlo. El segundo es el de revisar siempre la URL antes de identificarnos en cualquier sitio. Da igual sobre la que creamos haber pinchado, no cuesta nada confirmarlo en la barra de navegación.

COMPARTIR

NOTICIAS RECOMENDADAS

ULTIMAS NOTICIAS

Colegio Carlos Pellegrini http://www.nexofin.com/archivos/2017/09/colegio-carlos-pellegrini.jpg
Toma de colegios

El rector del Carlos Pellegrini denunció robos y destrozos durante la toma

Los estudiantes levantaron hoy la toma del establecimiento, medida que es analizada en otras escuelas secundarias porteñas ocupadas en reclamo de la suspensión de la reforma educativa
hyjiehiiz_660x385__1 http://www.nexofin.com/archivos/2017/09/hyjiehiiz_660x385__1.jpg
Eliminatorias

Perú ya se entrena pensando en el duelo con Argentina en La Bombonera

El seleccionado de Gareca comenzó los trabajos de cara al duelo crucial de Eliminatorias ante la Albiceleste
Diego Lagomarsino http://www.nexofin.com/archivos/2017/09/lagomarsino.jpg
Muerte del fiscal Nisman

Lagomarsino presentó su dictamen sobre Nisman y replicó al informe de Gendarmería

El técnico presentó a la Junta Interdisciplinaria un informe donde asegura que Nisman que suicidó
liga-de-espana-2538178w620 http://www.nexofin.com/archivos/2017/09/liga-de-espana-2538178w620.jpg
Fuera de juego

¿Qué le dijo Messi a Maffeo tras la marca personal durante el duelo con Girona?

El argentino se mostró fastidiado por la intensa marca que le propinó el defensor
ministerio de finanzas hacienda http://www.nexofin.com/archivos/2017/09/ministerio-de-finanzas-hacienda.jpg
Deuda pública

La deuda pública subió U$S 9.435 millones en el primer trimestre

Al cierre de 2016 la deuda pública era de U$S 275.446 millones de dólares, por lo que el aumento es de 3,5%

REALICE UN COMENTARIO