Google ha corregido una vulnerabilidad en la función de recuperación de cuentas de la compañía que permitía revelar los números de teléfono de los usuarios utilizados para dicha opción sin alertar al propietario, con lo que facilita a actores maliciosos obtener información personal y, por tanto, ejecutar ciberataques dirigidos o robos de identidad.
El fallo, encontrado por un investigador de seguridad independiente llamado Brutecat, se compartió con Google en abril de este año y afecta concretamente a la función de recuperación de cuentas de la compañía, una opción pensada para restablecer el acceso a una cuenta de Google en caso de haber olvidado la contraseña o tener problemas de inicio de sesión.
Así, se trata de un sistema comúnmente utilizado que permite configurar una dirección de correo electrónico alternativa o un número de teléfono para utilizarlos como método para restablecer la contraseña de la cuenta.
Estos datos se almacenan de forma privada para que solo sean utilizados por los usuarios. Sin embargo, la vulnerabilidad encontrada permite obtener el número de teléfono de recuperación de la cuenta sin alertar al titular, mediante un conjunto de procesos entre los que se incluye filtrar el nombre completo del propietario de la cuenta y sortear el mecanismo de protección antibots de Google, utilizado para evitar el 'spam' malicioso de solicitudes de restablecimiento de contraseña.
Según explica Brutecat en su blog, el proceso de investigación comenzó al descubrir que el formulario de recuperación de nombre de usuario de Google continuaba funcionando incluso sin tener activo el lenguaje de codificación JavaScript en el dispositivo, algo necesario desde 2018, ya que se utiliza en las soluciones de protección contra 'bots' de Google, integradas en los formularios de recuperación de cuentas para evitar abusos.
Con ello, este formulario de recuperación permitía comprobar si un correo o número de teléfono estaba asociado con un nombre de usuario específico, utilizando direcciones IPv6 -un identificador numérico asociado a una interfaz de red- y manipulando el token de autenticación de la solución de protección contra 'bots' BotGuard desde el formulario JavaScript.
Además, también consiguió filtrar el nombre de usuario específico a través del servicio para crear informes de Google, Looker Studio. Para ello, bastó con crear un documento en dicha plataforma y transferir su propiedad a la víctima, lo que hace que aparezca el nombre en la página de inicio automáticamente, sin necesidad de que el usuario afectado intervenga.
Con todo, el investigador ha concluido que, al automatizar todos estos procesos en una cadena de ataque, es posible forzar el número de teléfono de recuperación del propietario de una cuenta de Google en alrededor de 20 minutos o incluso menos, dependiendo de la longitud del número de teléfono que haya que averiguar.
Por ejemplo, en el caso de un número de Reino Unido, el investigador ha señalado que consiguió obtener números de teléfono en cuatro minutos y, en el caso de Singapur, el tiempo se reduce a los cinco segundos. En concreto, esta vulnerabilidad permitiría a actores maliciosos obtener datos personales de los usuarios como su nombre y su teléfono, lo que puede incurrir en robos de identidad u otro tipo de ataques dirigidos.
Ahora, Google ha asegurado que ha solucionado este error en su formulario, con lo que ya no es posible extraer los teléfonos móviles desde la función de recuperación de cuentas. Así lo ha trasladado la portavoz de Google Kiberly Samra, en declaraciones a TechCrunch, quien ha subrayado la importancia de colaborar con la comunidad de investigadores de seguridad a través de su programa de recompensas por vulnerabilidades.
"Comunicados como este por investigadores son una de las muchas maneras en que podemos encontrar y solucionar rápidamente problemas para la seguridad de nuestros usuarios", ha sentenciado Samra, al tiempo que ha aseverado que desde Google no han identificado "ningún vínculo directo confirmado con exploits en este momento".
Últimas Noticias
El Ejército de Somalia anuncia la muerte de un alto cargo de Al Shabaab en una ataque con apoyo internacional
Mahmoud Abdi Hamud, considerado uno de los fundadores de Al Shabaab y colaborador clave de la cúpula, murió tras un operativo en Buale, según Defensa de Somalia, reforzando la ofensiva gubernamental contra el extremismo yihadista en la región
EEUU mata a cuatro tripulantes de una presunta narcolancha en aguas del Pacífico
Las RSF prometen una "transformación democrática" de Sudán tras la toma de El Fasher y ante denuncias de abusos
El 37% de españoles dicen estar preocupados por el cambio climático, seis puntos menos que en 2022, según estudio
El informe internacional muestra una disminución significativa de la inquietud medioambiental en Europa, mientras se acentúa la brecha frente a preocupaciones por conflictos. Organizaciones piden respuestas integrales ante el descenso del interés por la crisis ecológica
Mueren tres personas en Jamaica mientras el país se prepara para el huracán de categoría 5 'Melissa'
El paso de Melissa por territorio jamaicano deja víctimas mortales y heridos, mientras el gobierno refuerza la asistencia y urge a la población a extremar precauciones ante los riesgos que generan los preparativos y el inminente temporal
