|
Ingreso a cuentas de terceros con GMail Drive
|
|
VSantivirus No. 1565 Año 8, martes 19 de octubre de 2004
Ingreso a cuentas de terceros con GMail Drive
http://www.vsantivirus.com/vul-gmaildrive-181004.htm
Por Angela Ruiz
angela@videosoft.net.uy
GMail Drive es una utilidad que permite utilizar la cuenta de GMail, el servicio de correo de 1 GB de Google, como un disco duro local.
GMail Drive crea una unidad virtual en "Mi PC", que puede ser usada por el usuario para almacenar información como si se tratara de un disco duro más, de 1 giga de capacidad. El programa no es soportado oficialmente por Google, siendo ofrecido por terceros.
Algunos lo utilizan como una especie de memoria virtual, ya que solo hace falta instalar el programa, e introducir nombre y contraseña, para usarlo desde cualquier computadora, en cualquier parte del mundo.
Sin embargo, esta aplicación posee una vulnerabilidad que permite revelar el nombre del usuario, y brinda además el acceso total a la cuenta respectiva en GMail, a cualquier usuario que acceda a la misma computadora en forma local.
Esta vulnerabilidad puede ser fácilmente explotada en ambientes donde muchos usuarios accedan a la misma computadora, pero no tiene forma de ser explotada en forma remota.
El usuario local puede obtener el nombre de usuario, examinando las propiedades del acceso a GMail Drive, ya que éste figura en la etiqueta de volumen.
Si GMail Drive está configurado con la opción "auto login" (ingreso automático), un usuario local también podrá acceder a la cuenta de correo del usuario con solo ingresar a la dirección
"http://gmail.google.com", al estar ya logeado en el disco virtual.
Se sugiere no utilizar GMail Drive en ambientes donde no se tenga el control absoluto del PC.
Créditos: Lostmon <lostmon@gmail.com>
Referencias:
GMail Drive shell extension
http://www.viksoe.dk/code/gmail.htm
Gmail (sitio oficial)
http://gmail.google.com
GMail Drive Discloses Gmail Users Account Name
and Lets Local Users Access the Gmail Account
http://securitytracker.com/id?1011758
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|