Proponha uma correção, faça uma sugestão
Google corrige falha grave na recuperação de password do Gmail
Os problemas de segurança são uma constante no universo da Google e esta empresa está sempre à procura de pontos de falha nos seus serviços, para que os possam corrigir de imediato e assim proteger os seus utilizadores.
O mais recente buraco de segurança que a Google tratou nos seus serviços, estava no Gmail, na zona de recuperação de passwords, e permitia que um qualquer utilizador mal intencionado conseguisse levar um utilizador a revelar a sua nova password, durante um processo de recuperação da mesma.
A falha de segurança foi detectada pelo (white) hacker Oren Hafif, e reportada no âmbito do programa de recompensa de detecção de vulnerabilidades (Vulnerability Reward Program).
Após o seu conhecimento, a Google tratou de resolver de imediato o problema e bastaram apenas 10 dias para que este estivesse resolvido e a comunidade alertada para a falha e para a resolução. Foi no G+ do Vulnerability Reward Program que a notícia foi anunciada.
O processo de roubo da palavra passe é bastante simples de entender por todos os que conhecem um pouco estes meandros e os processos normalmente usados.
Neste caso concreto era usado o XSS (Cross Site Scripting) para enganar o utilizador, levando-o a salta entre o site de recuperação de passwords da Google e um segundo site forjado.
Todo o processo se inicia com um simples envio de um email com um link forjado. Daí até ao roubo da palavra passe são apenas alguns minutos.
Se quiserem entender melhor o processo, podem vê-lo nesta página, onde Oren Hafif mostra em detalhe os passos que eram necessários.
O vídeo abaixo resume também, com algum grau de detalhe, o processo e a forma como podia ser executado.
Este problema é tanto maior quanto o facto de hoje em dia assentarmos praticamente todos os processos de recuperação de passwords de outros serviços no envio de emails para as nossas contas de Gmail.
Para além do acesso a todos os serviços Google estarem assentes nessa password, é também a porta de acesso a muitos outros serviços espalhados na Internet, e que não têm processos de recuperação de palavras chave de forma tão complexa como o do Gmail.
Mas mesmo com esse grau de complexidade, este sistema esteve exposto com uma vulnerabilidade. Está tratada e resolvida, o que nos garante que estamos mais protegidos contra tentativas mal intencionadas de aceder aos nossos dados.
Homepage: Gmail
Este artigo tem mais de um ano
Loading ...
Resumindo. Entre um grande escândalo e um encolher de ombros, a diferença está entre a vulnerabilidade ser divulgada antes ou depois de ser corrigida.
Nem um nem outro. É de aplaudir empresas que procuram activamente a melhoria constante envolvendo a comunidade e recompensando-a por isso (como é este o caso). Pior são exemplos de empresas que dizem fazer o mesmo e depois recusam o pagamento da recompensa (mas felizmente sofrem na pele o peso da comunidade e retratam-se… à posteriori). Ou então empresas que demoram meses (ou anos!) a resolver falhas (algumas sobejamente conhecidas), e o único escândalo é quando alguem as coloca a público, sendo o escandalo não por ser uma falha gravosa mas por se ficar a conhecer o desrespeito pelo cliente que tal empresa tem ao nem ligar, mesmo quando lhes dão a falha e a resolução de mão beijada.
Assim não há escândalo, paga-se para que não sejam conhecidos antes.
Recompensa a comunidade … tretas.
A Apple não paga a ninguém. Quem quiser reportar voluntariamente as vulnerabilidades que descobrir sabe como o fazer. Quer pôr a boca no trombone está à vontade.
Isso seria verdade se o pagamento e todo o processo fosse feito de uma forma obscura, sem conhecimento de ninguém, mas tal não acontece. Está muito bem regulamentado e publicitado quais os moldes de report, tal como é disponibilizado a informação da falha também.
E quanto à Apple, a Apple não tem esse programa de incentivos, mas já a MS tem. Mas no entanto em meados deste ano veio ao mundo a notícia da Apple ter supostamente pago meio milhão de dolares por informações sobre uma falha 0-day no iOS (de novo, supostamente pagou, mas da Apple nada se confirma nunca a não ser em keynotes).
Quem quer segurança, também não devia estar a usar o gmail…
É uma anedota, nem assinaturas digitais suporta!
Solução: activar o Google 2 Step Verification e deixa de ser um problema.
Aliás, activar a autenticação em dois passos para Gmail, Microsoft, Dropbox, Last Pass e tudo o que sejam serviços críticos. Dessa forma deixa de ser uma preocupação este tipo de falhas. Pelo menos até se descobrir como chegar ao token gerado pelo utilizador.
Nem mais. Depois do episódio com o jornalista da wired, em que com meios dados da apple e da amazon conseguiram aceder a tudo que era serviço que o homem usava, ao menos os tech savvy deveriam TODOS de ter isso bem registado… mas infelizmente não.
Mais uma poweres by Google. Continuo a dizer, a Google é uma empresa de marketing e publicidade…
Tal como a RedBull é uma empresa de eventos (radicais) que por acaso faz uma bebida “energética” nas horas vagas.
temos que comecar a usar tec. by Appel. “`Your fingerprint is one of the best passcodes in the world.““
agora a serio, 2 Step Verification e mais que suficiente.
google e pena ter tanta pub, mas corrige os bug e isso e muito bom.
no outlook servico que uso tenho semper 2 Step Verification email e nu. telefone.
Tipo, tens noção mesmo do que estás a falar, ou simplesmente apeteceu-te?
Não tem nada a ver, o touchid é só para efeitos locais, para guardar a tua password, e desbloquea-la quando reconhecer o teu dedo.
o que impede a apple de guardar todas as passwd numa lista i ter um scrip para fazer o login no itunes com o tuche id? que que faca a app?
2-step e esta feito.
quere de lhe fa:a a app? keybord/// JP n\ao tenho c de cao.