Investigadores de seguridad dan a conocer ocho vulnerabilidades en los servicios de Google durante la conferencia Hack in the Box el día de hoy en Amsterdam, pero afirman haber descubierto más de 100 errores en los últimos meses.

Los errores divulgados, fueron encontrados en Blogger, la plataforma para blog de Google, su servicio Analytics y en Google Calendar, entre otros servicios.

Dos de los más interesantes fueron los errores encontrados en Calendar y Analytics, mencionó Itzhak Avraham, investigador de seguridad y fundador de la empresa de seguridad Zimperium, con sede en Tel Aviv.

Los errores más comunes encontrados en los servicios de Google están relacionados con vulnerabilidades de Cross-site-scripting (XSS), mencionaron Avraham y su compañero investigador Nir Goldshlager, durante su presentación en Hack in the Box. Los ataques XSS (permitiendo la ejecución de código malicioso de un sitio web o un archivo, como si perteneciera  a otro), no sólo se relacionan con el robo de datos bancarios, también pueden ser utilizados para hackear la computadora de la víctima, mencionaron. “Hackear tu cuenta de Gmail no es tan interesante como hackear tu computadora”, agregó Avraham.

“El error en Calendar es uno de mis favoritos porque el usuario puede ejecutar el fallo por ti”, dijo Avraham. Los investigadores encontraron la manera de conseguir que un usuario de Calendar desencadene un ataque XSS utilizando la opción de compartir de la aplicación. Esto fue hecho mediante el intercambio de elementos de Calendar del atacante con los de la víctima por más de cinco veces, enviando notificaciones en cadena al usuario de manera efectiva, e instándolo a eliminar los elementos no deseados y compartidos del calendario. Después de que el usuario ha eliminado los cinco elementos compartidos, un mensaje pop-up de error aparece diciendo que el elemento del calendario seleccionado no se puede cargar, después de que un ataque XSS almacenado se ha disparado, permitiendo al atacante introducirse en el equipo de la víctima.

Avraham también resaltó el error en Analytics. De acuerdo con él, es sencillo ver cuáles sitios utilizan Analytics, porque el código del servicio puede ser manchado en la fuente de la página web. Analytics permitió a los atacantes enviar un enlace XSS a un administrador del sitio web objetivo, envido a través de una URL. Esto es posible porque en la misma página de Google Analytics se tiene una característica que permite a los usuarios ver datos superpuestos en su sitio web con Analytics, que acepta peticiones entrantes.

Los investigadores encontraron dos formas de explotar la vulnerabilidad. Una de ellas involucró al atacante, al compartir su propio perfil de Analytics con la víctima. La víctima luego de recibir un mensaje, en el que se indica que el perfil de Analytics fue compartido con él, atrayéndolo a revisar quién lo compartió, provoca el ataque XSS que infecta el sitio web para cargar el visor In-Page, lo que ejecuta el ataque, permitiendo al atacante afectar el equipo de la víctima.

Avraham y Goldshlager se llamaron a sí mismos cazadores de fallas, hackers que activamente buscan errores de software de proveedores que pagan una recompensa por informes de vulnerabilidades. Compañías, incluyendo Google, Facebook y Mozilla suelen pagar entre $500 y $3000 dólares por fallas descubiertas en su software, mencionaron los investigadores. De acuerdo con ellos, la mejor forma de encontrar fallas en grandes servicios como los que mantienen un registro de lo que hacen las compañías, por ejemplo, adquisiciones en proceso. Servicios agregados recientemente no siempre están bien protegidos, dijo Avraham.

Los investigadores también presentaron fallas encontradas en Feedburner de Google, Knol, en los servicios FriendConnect y Picnik, así como en Google Affiliate Network.

El error se encuentra en la edición de fotos del servicio Picnik, que involucra a una antigua versión de la aplicación de correo electrónico de código abierto, phpList, el cual está plagado de huecos de seguridad, mencionaron. Agregaron que Google utiliza el nombre de usuario y contraseña por defecto para esa aplicación.

“Ese fue un gran error”, dijo Golshalager, agregando que cuando se reveló la falla a Google, la persona responsable para el uso de phpList fue despedida, porque esta vulnerabilidad podría haber llevado a comprometer el servidor completo. Los cazadores de recompensas recibieron $3,133.70 dólares por el descubrimiento de la falla.

Todos los errores reportados a Google que se mencionaron durante Hack in the Box han sido corregidos antes de la presentación, concluyeron los investigadores.