Google ha parchado una vulnerabilidad que expone un número indefinido de direcciones de Gmail, una potencial mina de oro para phishing y ataques avanzados.

El investigador Oren Hafif de Israel reveló detalles de cómo él mismo fue capaz de vulnerar un token expuesto en una URL con el fin de revelar cada dirección de Gmail. Su trabajo lo hizo ganar 500 dólares a través del programa de recompensas de errores de Google.

"Hice un ataque de fuerza bruta para obtener un token en la URL de Gmail para extraer todas las direcciones de correo electrónico alojadas en Google", escribió Hafif en su blog personal.

Hafif comenzó a través la función de delegación de Google, la cual permite al titular de una cuenta delegar el acceso a otros simplemente añadiendo otra cuenta en la pestaña de configuración. El proceso devuelve un mensaje de verificación que indica que el acceso está pendiente,  ya sea con un clic en un enlace de aceptación o rechazo embebido en el mensaje. Las dos URLs son casi idénticas, excepto por un par de importantes diferencias que Hafif fue capaz de aprovechar.

En cualquier caso, Google no devuelve la dirección de correo electrónico delegada en la URL, dijo Hafif, lo que significa que algo en las URL representa la dirección. Hay unas áreas específicas en la URL en las que Hafif se concentró. Primero el mapeo de mmd y mda, que indican la aceptación o denegación de la delegación del correo. Luego fue la secuencia de caracteres inmediatamente después de la asignación que, él deduce, es el token de autenticación. Por último, la secuencia de caracteres al final de la URL, que según él es una especie de "blob (objeto binario de gran tamaño) codificado."

Hafif dijo que primero manipuló los bits codificados en la URL y aún regresaban los correos delegados. Luego vino el token, que como se vio después, fue la pieza clave del rompecabezas.

"Así que empecé a realizar el ataque de fuerza bruta y como ustedes saben, conseguí las direcciones de correo electrónico, montones de montones de direcciones de correo. Tantos correos que cada herramienta que usé para el ataque de fuerza bruta colapsó", Hafif escribió. "Así que escribí mi propio script multihilos en Ruby, el cual no es tan rápido como quisiera".

Hafif, quien es un investigador en SpiderLabs de Trustwave, también se percató de que muchas de las direcciones de email no eran de Gmail. El dijo que dedujo que eran empresas que utilizan Google Apps como servidor de correo, una exposición preocupante.