Gmail: Problemas de seguridad

Gmail: Problemas de seguridad
Sin comentarios

Ya me sabe mal tener que volver a hablar mal de Gmail, porque parece que le tengo manía al correo de Google cuando no es así, es un servicio que utilizo personalmente desde hace años y al que las nuevas funcionalidades le van dando cada vez más ventaja respecto a sus competidores directos. Lo que no entiendo todavía es por qué sigue en Beta, pero bueno eso es cosa de Google. El caso es que para ser una aplicación adecuada a nivel empresarial todavía le queda camino por recorrer.

Vicente Aguilera, un ingeniero informático español, ha decidido hacer pública una vulnerabilidad de Gmail que permitiría cambiar la contraseña de un usuario sin el consentimiento de éste. Alguno podría pensar que tras el revuelo de estos días ha aprovechado para tener publicidad, pero el caso es que ya avisó del problema a Google en septiembre de 2007, así que la empresa ha tenido tiempo más que suficiente para solucionar el problema.

El tipo de vulnerabilidad CSRF está provocado por el funcionamiento de la autenticación en Gmail. La forma de realizar la identificación en Gmail está basado en el envío de una cookie enviada por el navegador en cada solicitud, lo que podría ser aprovechado por un atacante para cambiar claves y suplantar y acceder a todos los datos del usuario. No parece que sea una técnica especialmente complicada para atacar una página y a la vez tampoco es complicado, en teoría, solucionar el problema pero parece que Google no ha decidido hacerlo.

Desde luego no parece lógico que Gmail no solucione el problema, aunque estén todavía en fase beta. No se puede tener la misma aptitud con los usuarios de cuenta gratuita que por los servicios que se prestan a empresas que pagan por el servicio. Tal vez estamos juzgando con demasiada dureza a Gmail, que como quien dice acaba de llegar al mundo empresarial. Esto no es más que la consecuencia de ser un servicio de Google, que si bien te da el prestigio de marca que lleva asociado, también lleva consigo estar en el punto de mira de todo el mundo.

Hoy por hoy, creo que existen otras alternativas al servicio de correo en red que son más profesionales que Gmail y a la vez son menos susceptibles de ataques ya que son menos "famosas" y a la vez tienen más experiencia ya que llevan años dando este tipo de servicios a empresas y tienen más engrasados los mecanismos para dar estos servicios. Gmail debe seguir mejorando, pero desde luego si no tenemos una correcta comunicación con los usuarios no va por el buen camino.

Actualización 09/03/08 Desde la agencia de comunicación que tiene Google para la relación con los medios nos ha llegado la versión que tiene Google y que paso a citar textualmente: "...la compañía tiene constancia desde hace tiempo de esta vulnerabilidad y que ésta no se considera significativa dado que para explotarla con éxito sería necesario adivinar correctamente la contraseña de un usuario en el periodo de tiempo que dicho usuario estuviese visitando la website de un potencial atacante. La compañía no ha recibido ningún informe indicando que esto haya sucedido. A pesar de las escasas posibilidades existentes de obtener una contraseña válida de esta forma, Google seguirá explorando formas de mitigar aún más esta circunstancia. Google siempre anima a sus usuarios a escoger contraseñas robustas, algo para lo que cuenta con un indicador que les ayuda a la hora de establecerlas."

En Kriptópolis, página de referencia en temas de seguridad, también hay gente que comenta en este mismo sentido aunque también pueden leerse comentarios sobre la forma de tratar a los clientes empresariales de Gmail. En este caso, igual que el día de la caída de Gmail, el problema quizás se encuentra en la forma de contestar de Google y de dar información a sus clientes de empresa y en este caso, una contestación más "suave" indicando que siendo la vulnerabilidad a su juicio leve, y dado que no han tenido constancia de que se hayan producido problemas por este tema, intentarán corregirlo en posteriores versiones...

Vía | Vnuznet Más Información | Insecure.org En Tecnología Pyme | Google compensará a sus clientes por el apagón de Gmail En Tecnología Pyme | El fallo en GMail y el debate de la seguridad

Temas
Comentarios cerrados
Inicio