netdancerplanet.info » ¿Vulnerabilidad grave en Gmail?

¿Vulnerabilidad grave en Gmail?

    01.12.2005 @ 05:27h.    Enlace para trackback

Escribo esto un tanto a ciegas, pero de ser cierta, la cuestión me ha parecido lo suficientemente importante como para perder unos cuantos minutos de mi vida exponiéndola.

Como muchos ya sabréis, Gmail permite acceder a nuestros últimos correos recibidos mediante un práctico feed Atom. Es decir, si añadimos el feed a nuestro agregador favorito, este nos servirá para mantenernos al tanto de los nuevos e-mails que vayan llegando. Todo claro hasta aquí.

Esta noche, aunque imaginaba que no funcionaría con Bloglines (la URL del feed es común para todas las cuentas, y al parecer se basa en cookies almacenadas en nuestro equipo), he agregado el feed a mi cuenta en el mencionado servicio. La sorpresa ha sido mayúscula cuando me he topado con un montón de correos que no eran míos; resultaba evidente que pertenecían a otro usuario de Gmail (podía ver su dirección en el título del feed), y puedo asegurar que este no guardaba ningún tipo de relación conmigo y/o el equipo desde el que escribo (es decir, parecería más lógico que hubiesen aparecido los correos de mi novia, o los de cualquier otra cuenta usada aquí).

Tras meditarlo un poco, he llegado a una conclusión relativamente inquietante: La posible causante de esta “debacle” informática no es otra que la caché de Bloglines, ya que esta maneja diariamente miles de feeds distintos, y el modo más lógico de servirlos a sus usuarios es mostrando la última versión cacheada, es decir, la de cualquiera que haya añadido previamente el feed de Gmail.

Contraseñas, números de cuenta… Cualquier cosa puede quedar expuesta. Espinoso, cuanto menos.

21 comentarios a este post  
Puntúa este post: 1 votos | Valoración media: 5 de 51 votos | Valoración media: 5 de 51 votos | Valoración media: 5 de 51 votos | Valoración media: 5 de 51 votos | Valoración media: 5 de 5   
Loading ... Puntuando...
  Relacionado: ¿8.589.934.592 bits?
 

RuonorY 

Publicado desde Mozilla Firefox 1.5 en Windows XP, el 01.12.05 a las 11:58h.  ( # )

Pues creo que sería buena idea que le comunicaras esto a Google y a Bloglines, piensa que esto mismo podrían descubrirlo usuarios malintencionados (como dice Microsoft) y entonces las consecuencias podrían ser peores, yo tengo información importante en mi cuenta.

Gracias por el aviso ;)



NetDancer 

Publicado desde Opera 8.50 en Windows XP, el 01.12.05 a las 19:44h.  ( # )

Si estoy en lo correcto, tus mails no estarán expuestos, a no ser que agregues tu feed a Bloglines. Sí que debería avisar, pero quiero imaginar que alguien lo habrá hecho ya, y por otra parte, insisto en que no estoy completamente seguro. Ya veremos, ya.



danielillu 

Publicado desde Internet Explorer 6.0 en Windows XP, el 02.12.05 a las 11:18h.  ( # )

No lo dejes pasar. Siempre confiamos en “otro lo hara” y asi nos va todo.

ya que tu sabes el procedimiento que has seguido, comunicaselo a google y bloglines. aunque casi seguro que la culpa es de bloglines por usar la cache de forma digamos “indebida” o almenos, mal usada. deberian filtrar gmail para que sea non-cacheable.
decirles algo al gmail team es facil, yo mismo lo he hecho y se lo toman con seriedad, e incluso se ponen en contacto contigo para que les remitas mas informacion/pruebas.

supongo que bloglines sera parecido.



yo 

Publicado desde Mozilla Firefox 1.0.7 en Debian GNU/Linux, el 02.12.05 a las 11:45h.  ( # )

La vulnerabilidad no parece que sea de gmail, mas bien de bloglines. Gmail protege el feed con usuario y contrasenha, si tu pones esos datos en otro servicio… que culpa tiene gmail?

Avisa a bloglines. Y la proxima tal vez seria mejor que los avisases antes de decirlo publicamente , y de que lo arreglen mandas mensajito a bugtraq, lo pones en tu bitacora y esas cosas ;) De todas formas es de agradecer lo que has hecho



Groove 

Publicado desde Mozilla Firefox 1.5 en Windows 2000, el 02.12.05 a las 12:14h.  ( # )

Uf, pues va a ser que si que pasa lo peor de todo que al editar tu subscripción al FEED de gmail que ocurre, que salen las passwords de los usuarios.! CRAP! habra que reportarlo a google ;-) y sacar un pequeño advisory. :-S, lo que uno descubre a chorra eh!, venga enhorabuena por el fallo. Sí no te importa linkare la noticia al mio.
Saludos.



morri 

Publicado desde Mozilla Firefox 1.0.4 en Windows XP, el 02.12.05 a las 14:15h.  ( # )

PUes vaya mal rollo, yo prefiero leer mi e-mail en mi cuenta, con mi Gmail notifier para que me avise y punto en boca jajaja Nada de feeds para el mail.



jmarinco 

Publicado desde Mozilla Firefox 1.5 en Windows XP, el 02.12.05 a las 14:20h.  ( # )

Hola.. a mi esto ya me ha ocurrido variada vez.. asi que como dicen .. seria bueno que lo comunicaras a la gente de Google..



Avery J. Parker  (Pingback)

Publicado desde WordPress 1.5.2, el 02.12.05 a las 16:09h.  ( # )

[…] I don’t know about this, and will be curious to see what the answer is…. barrapunto.com had the link to a post from a Gmail user who notes… Gmail has the capability to have a feed of your new messages in Atom format. (We’re talking rss feeds here.) That’s all well and good. He went to bloglines though and tried to setup viewing of his feed…. and saw tons of email - NOT HIS. […]



zacarias 

Publicado desde Mozilla Firefox 1.5 en Linux, el 02.12.05 a las 16:10h.  ( # )

Yo pienso que tanto Gmail como Bloglines tienen su parte de culpa.



NetDancer 

Publicado desde Opera 8.50 en Windows XP, el 02.12.05 a las 16:23h.  ( # )

A ver, voy a intentar aclarar algunos puntos:

1. Como ya dije, si no he avisado a los chicos de Google y Bloglines es porque no estaba totalmente seguro. Por otra parte, el fallo sólo afecta a aquellos que hayan incluido su feed en Bloglines (afortunadamente son muy pocos hasta el momento), y lo que he publicado no es una información que pueda aprovecharse de inmediato para perjudicar a terceros.
¿Alguien tiene los mails para bug-report a mano?

2. Considero que el fallo es de ambos servicios, pero principalmente de Gmail. Es lógico que Bloglines cachee los feeds por defecto, aunque a partir de ahora deberían crear unas cuantas “blacklists” internas para este tipo de cosas. Por otra parte, el sistema utilizado por Gmail no me parece el más adecuado (una URL común para todas las cuentas puede dar lugar a este y otros muchos fallos).

3. El usuario no tiene la necesidad de introducir nombre de usuario y contraseña en Bloglines para añadir su feed de correo, basta con que ya esté logueado en Gmail. Esto que parece una tontería, puede llegar a generar actitudes verdaderamente maliciosas, ya que alguien podría generar “falsos” enlaces que añadieran nuestro feed de correo a Bloglines.

Creo que me dejo alguna cosa en el tintero…



Apostols 

Publicado desde Mozilla Firefox 1.5 en Linux, el 02.12.05 a las 16:26h.  ( # )

El problema es el blogline. Reportalo para que reparen el fallo.



biboz 

Publicado desde Mozilla Firefox 1.0.6 en Windows XP, el 02.12.05 a las 17:30h.  ( # )

Menos mal que no suelo utilizar agregadores de feeds ;)



::aguayoki::  (Pingback)

Publicado desde WordPress 1.5.2, el 02.12.05 a las 19:33h.  ( # )

[…] Además, al parecer queda expuesta tu clave de Gmail… Hasta ahora, los usuarios, tanto en el blog de NetDancer (quien denuncia la vulnerabilidad) como en Barrapunto, discuten el porqué pasa esto… Y claro, seguramente ya le habrán avisado a Bloglines. Así que por el momento, lo más sano es… No utilizar el feed de Gmail. ¡Así de simple! […]



daka 

Publicado desde Mozilla Firefox 1.0.7 en SuSE Linux, el 02.12.05 a las 19:45h.  ( # )

Puf, pues vaya tela, gracias por el aviso, espero que esto se solucione rapido, pq evidentemente no vamos a hacer nadie un uso “malicioso” pero probar a ver si a nosotros nos tira = pos..



Arielinux 

Publicado desde Mozilla Firefox 1.0.7 en Linux, el 02.12.05 a las 20:16h.  ( # )

Gracias por el aviso…



google.dirson.com 

Publicado desde Mozilla Firefox 1.5 en Linux, el 02.12.05 a las 20:39h.  ( # )

Independientemente de que exista un fallo en Bloglines o en Gmail, creo que se trata de un error de concepto.

Si te suscribes a un feed con información personal, a través de una URL única con aspecto único, no puedes esperar que el servidor de Bloglines hable con el de Gmail y diga “ah si, se trata de la información del correo del usuario X”. No tienen ningún dato para distinguir un usuario de otros (a no ser que introduzcas en el feed los datos de ‘user’ y ‘passwd’ como algunos usuarios han hecho torpemente).

Los feeds de Gmail fueron creados para ser utilizados por agregadores instalados en máquinas con acceso restringido (por ejemplo, lectores de feeds en local).



NetDancer 

Publicado desde Opera 8.50 en Windows XP, el 02.12.05 a las 20:50h.  ( # )

Yo no esperaba que funcionara, ya lo decía en post, pero tampoco esperaba encontrarme con correos ajenos… o_O



Jcl 

Publicado desde Mozilla Firefox 1.5 en Windows XP, el 03.12.05 a las 00:06h.  ( # )

En cualquier caso, y dado que Bloglines no tiene acceso a tus cookies de autentificación cuando cachea esa información desde el feed (es decir, la “bajada” de información del feed no la hace tu ordenador, sino el servidor de bloglines), el correo que estarías leyendo sería del empleado de Ask Jeeves (empresa que posee Bloglines) que se autentificó en el servidor en su cuenta de gmail (y por tanto, a la hora de descargar el feed, usó esas cookies).

Eso pasa, desde luego, por no tener un lector propio de http y usar el que sea que usen (que tenga acceso a las cookies del navegador) :-)

Dudo que -mis- correos puedan leerse en bloglines, agregue yo ese feed o no (de ningún modo Gmail mandará mis mails a los ordenadores Bloglines, dado que no existe en ellos ninguna clase de autentificación con mi nombre de usuario para con Gmail)



NetDancer 

Publicado desde Opera 8.50 en Windows XP, el 03.12.05 a las 00:51h.  ( # )

Corrígeme si me equivoco, pero también cabe la posibilidad de que el encabezado del feed haga una comprobación de la cookie alojada en el equipo desde el que se accede a la lectura, y que Bloglines pueda cachear el contenido una vez que esta comprobación ha sido positiva, y por tanto ha sido mostrado el feed. Principalmente lo digo porque lo del empleado de turno no parece ser la respuesta al misterio: Hice un par de pruebas, y mientras que en la primera me aparecieron los mails de un tipo que parecía español, en la segunda eran los de alguien de habla portuguesa.



Jcl 

Publicado desde Mozilla Firefox 1.5 en Windows XP, el 03.12.05 a las 12:39h.  ( # )

Un feed no puede hacer eso (o, al menos, a mi no me cabe en la cabeza cómo). A la hora de hacer la petición http a la URL, Gmail busca una cookie en el cliente que hace la petición.

El problema es que, al contrario de lo que pensáis, no se trata de una autentificación por una cookie (como decís vosotros y yo me había fiado). Es una autentificación http en toda regla (que imagino se salta si tienes ya el cookie activado). Si entrais a la URL http://mail.google.com/mail/feed/atom/ desde un navegador en el cual no hayais hecho login a Gmail, os saldrá la ventanita de petición de usuario y contraseña (la cual SOLO se puede conseguir usando una petición de autentificación http).

La cookie solo la tiene tu navegador (y no Bloglines), pero una petición http si se puede pasar al usuario y se puede hacer tunel por otros servidores.



wifi 

Publicado desde Opera 8.02 en Linux, el 03.12.05 a las 13:04h.  ( # )

interesante bug ;)


Aporta tu comentario para la posteridad .-

Tu email no será publicado o utilizado con fines comerciales ¡Palabrita!

Si lo deseas, puedes hacer uso de las etiquetas HTML mostradas a continuación:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <code> <em> <i> <strike> <strong>
 

Nombre

Email

Web (opcional)

Comentario

 

Feed con los comentarios a este post  ·  Feed con todos los comentarios del blog

 Post anteriorSiguiente post 
 
Directory of Internet Blogs