Sergio Asenjo
EditorAcabamos de conocer la existencia de una vulnerabilidad en las cuentas de Google que permitía que cualquiera con los conocimientos necesarios pudiese averiguar el número de teléfono asociado a una cuenta en cuestión de minutos, lo que nos permite hacernos una idea de los riesgos para los usuarios. Lo único necesario era el nombre del perfil y un fragmento del número asociado a la cuenta, como los dos últimos dígitos que Google nos muestra el tratar de recuperar nuestra contraseña.
El fallo en cuestión fue descubierto por un investigador conocido como BruteCat, que se puso en contacto con Google para informar de la vulnerabilidad. La compañía ha confirmado que el problema ya está solucionado y aunque no hay constancia de que el fallo haya sido explotado, desde el medio especializado Bleeping Computer explican que la filtración de números de teléfono puede hacer a los usuarios más propensos a ataques de ‘vishing’ o de ‘SIM swapping’.
Google ha recompensado con 5.000 dólares a la persona que descubrió la vulnerabilidad
El investigador que descubrió el fallo en los sistemas de Google ha compartido los detalles de la vulnerabilidad en un articulo publicado en su página web, donde explica que la descubrió al desactivar Javascript en el navegador con el objetivo de comprobar si había algún servicio de Google que aún funcionase sin necesidad de usar esta tecnología. Para su sorpresa, el formulario de recuperación de la cuenta de Google funcionaba sin problemas.
Para hacerse con el nombre de la persona cuyo número quería averiguar, BruteCat descubrió que podía hacer uso de la herramienta de visualizaciones de información empresarial ‘Looker Studio’, propiedad de Google. Al crear un documento y transferirlo a la víctima, el nombre de esta última aparecía en pantalla incluso aunque la persona no hubiese aceptado la transferencia. Una vez con el nombre en su poder, solo hacía falta acceder al formulario de recuperación de una cuenta de Google para conseguir dos dígitos del teléfono asociado a la cuenta.
Haciendo uso de una técnica de fuerza bruta, el investigador encontró la forma de averiguar el número de teléfono de recuperación completo vinculado a una cuenta de Google. Para lograrlo se saltaba los sistemas de protección de la compañía (como los CAPTCHAs y los límites en el sistema de peticiones) y generaba posibles números utilizando una librería pública de Google. El investigador enviaba hasta 40.000 peticiones por segundo, lo que le permitía descubrir un número completo en un máximo de 20 minutos.
BruteCat explica que el tiempo necesario para descubrir un número en cuestión variaba dependiendo del país: mientras que en Estados Unidos hacían falta 20 minutos, en países como Reino Unido, Países Bajos o Singapur bastaba con mucho menos tiempo (4 minutos, 15 segundos y 5 segundos, respectivamente). El investigador reportó el problema el 14 de abril de este mismo año y recibió 5.000 dólares a cambio de su aportación. La compañía ha confirmado que la vulnerabilidad está solucionada desde el pasado 6 de junio, por lo que ya no hay forma de explotarla y nuestros datos están seguros.
Imagen de portada | Daniel Romero (Unsplash)
En Xataka Android | Me obsesiona la seguridad de mi cuenta de Gmail: seis sencillos ajustes que hago para olvidarme de problemas
En Xataka Android | Qué es el malware, qué tipos hay y qué puedes hacer si infecta tu móvil
Ver 0 comentarios