De todos los encargados de seguridad, los que menos tiempo tienen para aburrirse, al menos por estos días, son los de Google. Efectivamente, en un lapso de tiempo relativamente corto, menor a un mes, han sido reportadas una gran cantidad de vulnerabilidades en varios servicios de la empresa. Y algunas son graves.
Google Search Appliance, cuyo precio parte de 30.000 euros, es un buscador especial para intranets. Hace unos días, un "hacker" ucraniano apodado MustLive, afirmo haber descubierto una vulnerabilidad que deja a sus usuarios indefensos ante el robo de cookies, secuestro de sesiones y cualquier cosa que se pueda lograr mediante scripts ejecutados en el navegador. Entre las empresas y organismos afectados se encuentra el servicio británico de Inteligencia MI-5.
Y ayer, Adrian Pastor, de Citizen, publicó una nueva vulnerabilidad que permite el robo de contraseñas desde la página de ingreso (login) a la versión instalable del medidor de tráfico web Google Analytics. Pero esto no acaba aquí.
Por ejemplo, se ha publicado en varios blogs como explotar un bug de Picasa que permite al atacante robar imágenes privadas del disco duro de la víctima. Para ello, solo hace falta que este ultimo visite un enlace malicioso.
Si todo esto logró preocuparte, estas en problemas, porque todavía falta lo peor. El sitio Beford.org detalla otra vulnerabilidad que permite robar información de cuentas de Gmail. ¿Ya tenemos tu atención?
Este fallo se extiende a otros servicios de Google, como los Grupos y el Correo. En concreto, bedford.org publica dos ejemplos de esta vulnerabilidad. Una permite ver la lista de contactos del usuario, y la otra produce el reenvío de los mensajes nuevos a la cuenta que el atacante desee. Nuevamente, para que este fallo pueda ser explotado basta con visitar una web maliciosa.
Pero afortunadamente hay una solución, al menos si utilizas Firefox como navegador por defecto. Basta con instalar y configurar algún producto que bloquee la ejecución de scripts de sitios no conocidos, como por ejemplo NoScript.
Seguramente, la nueva versión de Gmail tendrá en cuenta estas vulnerabilidades y todo volverá a ser seguro. O casi.