Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Ingreso a cuentas de terceros con GMail Drive
 
VSantivirus No. 1565 Año 8, martes 19 de octubre de 2004

Ingreso a cuentas de terceros con GMail Drive
http://www.vsantivirus.com/vul-gmaildrive-181004.htm

Por Angela Ruiz
angela@videosoft.net.uy


GMail Drive es una utilidad que permite utilizar la cuenta de GMail, el servicio de correo de 1 GB de Google, como un disco duro local.

GMail Drive crea una unidad virtual en "Mi PC", que puede ser usada por el usuario para almacenar información como si se tratara de un disco duro más, de 1 giga de capacidad. El programa no es soportado oficialmente por Google, siendo ofrecido por terceros.

Algunos lo utilizan como una especie de memoria virtual, ya que solo hace falta instalar el programa, e introducir nombre y contraseña, para usarlo desde cualquier computadora, en cualquier parte del mundo.

Sin embargo, esta aplicación posee una vulnerabilidad que permite revelar el nombre del usuario, y brinda además el acceso total a la cuenta respectiva en GMail, a cualquier usuario que acceda a la misma computadora en forma local.

Esta vulnerabilidad puede ser fácilmente explotada en ambientes donde muchos usuarios accedan a la misma computadora, pero no tiene forma de ser explotada en forma remota.

El usuario local puede obtener el nombre de usuario, examinando las propiedades del acceso a GMail Drive, ya que éste figura en la etiqueta de volumen.

Si GMail Drive está configurado con la opción "auto login" (ingreso automático), un usuario local también podrá acceder a la cuenta de correo del usuario con solo ingresar a la dirección "http://gmail.google.com", al estar ya logeado en el disco virtual.

Se sugiere no utilizar GMail Drive en ambientes donde no se tenga el control absoluto del PC.

Créditos: Lostmon <lostmon@gmail.com>

Referencias:

GMail Drive shell extension
http://www.viksoe.dk/code/gmail.htm

Gmail (sitio oficial)
http://gmail.google.com

GMail Drive Discloses Gmail Users Account Name
and Lets Local Users Access the Gmail Account 
http://securitytracker.com/id?1011758




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS