Os problemas de segurança são uma constante no universo da Google e esta empresa está sempre à procura de pontos de falha nos seus serviços, para que os possam corrigir de imediato e assim proteger os seus utilizadores.
O mais recente buraco de segurança que a Google tratou nos seus serviços, estava no Gmail, na zona de recuperação de passwords, e permitia que um qualquer utilizador mal intencionado conseguisse levar um utilizador a revelar a sua nova password, durante um processo de recuperação da mesma.
A falha de segurança foi detectada pelo (white) hacker Oren Hafif, e reportada no âmbito do programa de recompensa de detecção de vulnerabilidades (Vulnerability Reward Program).
Após o seu conhecimento, a Google tratou de resolver de imediato o problema e bastaram apenas 10 dias para que este estivesse resolvido e a comunidade alertada para a falha e para a resolução. Foi no G+ do Vulnerability Reward Program que a notícia foi anunciada.
O processo de roubo da palavra passe é bastante simples de entender por todos os que conhecem um pouco estes meandros e os processos normalmente usados.
Neste caso concreto era usado o XSS (Cross Site Scripting) para enganar o utilizador, levando-o a salta entre o site de recuperação de passwords da Google e um segundo site forjado.
Todo o processo se inicia com um simples envio de um email com um link forjado. Daí até ao roubo da palavra passe são apenas alguns minutos.
Se quiserem entender melhor o processo, podem vê-lo nesta página, onde Oren Hafif mostra em detalhe os passos que eram necessários.
O vídeo abaixo resume também, com algum grau de detalhe, o processo e a forma como podia ser executado.
Este problema é tanto maior quanto o facto de hoje em dia assentarmos praticamente todos os processos de recuperação de passwords de outros serviços no envio de emails para as nossas contas de Gmail.
Para além do acesso a todos os serviços Google estarem assentes nessa password, é também a porta de acesso a muitos outros serviços espalhados na Internet, e que não têm processos de recuperação de palavras chave de forma tão complexa como o do Gmail.
Mas mesmo com esse grau de complexidade, este sistema esteve exposto com uma vulnerabilidade. Está tratada e resolvida, o que nos garante que estamos mais protegidos contra tentativas mal intencionadas de aceder aos nossos dados.
