XSS en Google (lo que faltaba!)

(Tomado de segu-info.com.ar) Después del alboroto sobre el agujero de seguridad de Skype, apareció un Cross Site Scripting (XSS) en GoogleUserContent.com que permite a un atacante crear un sitio de phishing que se aloja en Google.com, o al menos uno que se parece a él. En otras palabras, las víctimas podrían ser engañadas para ingresasr sus datos verdaderos de lala cuenta de Google, pensando que realmente están en Google.com.

De acuerdo con The Hacker News, la historia es un poco más complicada. Hace dos meses, Mohit Kumar descubrió una vulnerabilidad de XSS en el dominio de Google, redactó una prueba de concepto y la reportó a la empresa el 11 de septiembre.

Según Kumar, Google no se molestó por el tema y le informó que no era explotable. Por lo tanto tampoco le concedió su recompensa Kumar.

Para empeorar las cosas, ayer otro hacker búlgaro “Keeper” informó que la vulnerabilidad sigue activa, después de múltiples denuncias a Google. Los hackers crearon una página de phishing usando la falla de XSS persistente “para poder demostrar al mundo de que no se trata de un error menor”.
Así es como se ve la página falsa:

Esto es sólo una prueba de concepto, pero realmente parece una página de acceso legítimo de Google alojada en el dominio de Google.com, pero en realidad es un sitio de phishing que roba las credenciales de acceso. Si bien no se brindan detalles, queda claro que el dominio Google.com está siendo abusado.

Cristian de la Redacción de Segu-Info

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s