Globedia.com

×
×

Error de autenticación

Ha habido un problema a la hora de conectarse a la red social. Por favor intentalo de nuevo

Si el problema persiste, nos lo puedes decir AQUÍ

×
cross

Suscribete para recibir las noticias más relevantes

×
Recibir alertas

¿Quieres recibir una notificación por email cada vez que Thetechguy escriba una noticia?

Hackea Google Inbox con la Nueva Vulnerabilidad de Spoofing

02/05/2018 23:40 0 Comentarios Lectura: ( palabras)

Un investigador de seguridad informática descubrió y reportó de manera privada una vulnerabilidad de spoofing del destinatario en Google Inbox

Hace casi un año, el 4 de mayo de 2017, un investigador de seguridad informática descubrió y reportó de manera privada una vulnerabilidad de spoofing del destinatario en Google Inbox. El experto noto que el cuadro de composición siempre ocultó las direcciones de correo electrónico de destinatarios con nombre sin proporcionar una forma de inspeccionar la dirección de correo electrónico real, y descubrió cómo abusar de esto con mailto: enlaces que contienen destinatarios con nombre.

El enlace mailto: “support@paypal.com” <scam@phisher.example> se indica como “support@paypal.com” en la ventana de composición de la bandeja de entrada de Google.

Para explotar esta vulnerabilidad, el usuario objetivo solo necesita hacer clic en un enlace malicioso. Los expertos comentan que también se puede activar haciendo clic en un enlace directo a la página mailto: handler de la bandeja de entrada.

Esta vulnerabilidad aún no se ha corregido.

inbox 1

Los investigadores de seguridad informática comentan que el destinatario “support@paypal.com” está siendo falsificado en la ventana de composición de la bandeja de entrada de Google. El destinatario real es “scam@phisher.example”.

Google había agregado información sobre herramientas emergentes a este campo en Inbox, esto permitía confirmar manualmente la dirección de correo electrónico del destinatario

En julio de 2017, el experto noto que Google había agregado información sobre herramientas emergentes a este campo en Inbox, esto permitía a los usuarios confirmar manualmente la dirección de correo electrónico del destinatario. La presentación predeterminada de la dirección de correo electrónico todavía era vulnerable a la suplantación de identidad, se envió otro aviso vía correo electrónico a Google.

inbox 2

Después de no recibir respuesta durante más de 8 meses, se envió otra notificación vía correo electrónico en marzo de 2018.

inbox 3

Nueve meses después de enviar los correos electrónicos el investigador de seguridad informática recibió una respuesta, que lleva a creer que Google realmente no quiere solucionar esta vulnerabilidad.

inbox 4

 


Sobre esta noticia

Autor:
Thetechguy (1163 noticias)
Visitas:
3197
Tipo:
Reportaje
Licencia:
Distribución gratuita
¿Problemas con esta noticia?
×
Denunciar esta noticia por

Denunciar

Etiquetas

Comentarios

Aún no hay comentarios en esta noticia.