Oren Hafif, investigador de seguridad, descubrió una vulnerabilidad crítica en el proceso de cambio de contraseña de Google que permite a un atacante secuestrar cualquier cuenta.

Hafif logró engañar a usuarios de Google para que entregaran sus contraseñas mediante la dispersión de un simple ataque de phishing. Empleó como punto de apoyo un número de fallos en el servicio de Google, por ejemplo, Cross-site request forgery (CSRF), cross-site scripting (XSS) y evitar el flujo de información.

En un video demostrativo se ve como el atacante envía a su víctima un correo falso para "Confirmar la propiedad de tu cuenta" solicitando que ingrese a Google.

El enlace mencionado en el correo indica al destinatario que confirme la propiedad de la cuenta y solicita al usuario que cambie su contraseña.

La liga en el correo aparentemente lleva a una dirección HTTPS de google.com, pero realmente conduce a la víctima al sitio web del atacante, realizando un ataque CSRF con una dirección de correo personalizada.

A diferencia de una falsa, una página HTTPS de Google solicitará a la víctima que confirme la propiedad de la cuenta mediante el ingreso de su última contraseña y entonces solicitará cambiarla.

Pero en un ataque, el hacker guarda la nueva contraseña e información de la cookie empleando un ataque de XSS.

Hafif informó a los ingenieros de seguridad de Google con los detalles de esta seria vulnerabilidad de seguridad y Google ha solucionado los fallos. Google recompensó al señor Hafif con 5,100 dólares bajo su programa de recompensas.

A continuación el vídeo: