17 febrero 2010

Google Buzz sabe donde estás...¿y quién más?

RSnake, de la página ha.ckers.org también conocida como tiene-que-estar-en-tus-favoritos-seguro-aunque-sea-por-la-cheatsheet-de-XSS, comentaba ayer en su blog que había recibido un e-mail de TrainReq que detallaba una vulnerabilidad en Google Buzz.

Antes de nada, si queréis saber un poco más de este tal TrainReq, con esta búsqueda en Google quizás os suene un reporte suyo anterior. Eso si, si viendo el anterior enlace alguien que pase por vuestro lado os mira raro, no tenéis más que decir que estáis realizando un trabajo de obtención de información sobre un nick que habéis leido por ahí... En resumen, TrainReq es el hacker que accedió a una cuenta de correo antigua de Miley "Hannah Montana" Cyrus y consiguió fotos del estilo "me encanto, y me hago fotos en el baño para myspace" para más adelante distribuirlas por internet (TrainReq, no ella)

Volviendo al tema que nos ocupa, RSnake complementa su post con una imagen de la vulnerabilidad en acción, en la que se ve claramente una vulnerabilidad de Cross-Site Scripting explotada satisfactoriamente (se ha inyetado un código javascript que muestra un alert con la cadena TrainReq) en la versión móvil (m.google.com/app/buzz) de Google Buzz


Qué pasará con las versiones móviles de este tipo de herramientas, que siempre acaban resultando ser una puerta de entrada vulnerable aún siendo muy seguras sus versiones desktop...poca comunicación entre departamentos quizás.

Retomemos el debate infinito sobre lo que supone un Cross-Site Scripting, y recuperemos el condicionante "dónde se encuentra la vulnerabilidad". Por su twitter, RSnake afirma que se trata de un XSS persistente, y seguidamente en su post se exponen 4 ingredientes (como los 4 bloques que forman el logo, que casualidad) que hacen realmente MUY interesante la reflexión sobre esta vulnerabilidad:
  1. Nos encontramos en un dominio que no pasa desapercibido, como es, google.com
  2. Nos encontramos sobre SSL (eso nos da seguridad...creo...)
  3. Nos encontramos en la aplicación Google Buzz, lo que supone un posible secuestro de la cuenta. Bueno, si no has llevado a cabo la guía de Alejandro sobre como desactivar por completo este servicio, esta vulnerabilidad te afecta.
  4. Curiosamente, en la imagen vemos como el navegador nos está pidiendo la confirmación para enviar al servicio la información sobre dónde nos encontramos. ¿Se podrá entonces obtener ese dato explotando el XSS? Podéis probar en Firefox por ejemplo a acceder a la siguiente dirección para comprobar la petición, y NEGAD LA PETICIÓN:
https://m.google.com/app/buzz?force=1#~buzz:view=nearby

Aún no se tiene confirmación oficial por parte de Google sobre si se ha arreglado esta vulnerabilidad y más detalles, pero seguro que no se hace esperar.
Como se puede comprobar, en lo que menos se piensa teniendo esta vulnerabilidad a mano es explotar el Cross-Site Scripting para meter una imagen y hacer una captura...
[+] Google Buzz Security Flaw (ha.ckers.org) | @rsnake

2 comments :

Seifreed dijo...

Otro XSS más, otra cagadita de Google.
Me encanta como las grandes compañías dan ejemplo.
En fin que se le va ha hacer...

Seifreed dijo...

Otro XSS más, otra cagadita de Google.
Me encanta como las grandes compañías dan ejemplo.
En fin que se le va ha hacer...