Einherjer
Frikazo
- Registro
- 11 Ene 2004
- Mensajes
- 10.101
- Reacciones
- 3
Esta nueva utilidad Gmail Drive (el programa no es soportado oficialmente por Google, siendo ofrecido por terceros) pretende que un usuario con una cuenta de Gmail pueda tener ese giga ofrecido, en su pc ,
como si de una unidad virtual se tratase.
Despues de instalarnos ese disco Gmail Drive y estudiarlo un poco, vimos que por alguna circunstancia, al hacer login en el disco, éste se abría como debería ser; pero si poníamos en el navegador la url de gmail ésta nos redirigía automáticamente a la
cuenta de correo del usuario y que además, al mirar ese disco en Mi PC, como etiqueta del volumen , veremos el nombre de usuario de la cuenta con la que se inició la sesión y que , además, al mirar
las propiedades de ese disco, la vulnerabilidad permite revelar el nombre del usuario, y brinda , además , el acceso total a la cuenta respectiva en Gmail, a cualquier usuario que acceda a la misma computadora en forma local.
Esta vulnerabilidad puede ser fácilmente explotada en ambientes donde muchos usuarios accedan a la misma computadora, pero no tiene forma de ser explotada en forma remota.
Aunque han sido muchos sitios de prestigio los que han publicado la
vulnerabilidad:
https://www.securitytracker.com/alerts/2004/Oct/1011758.html
https://vsantivirus.com/vul-gmaildrive-181004.htm
https://reviews.cnet.com/5208-6132-0.html?forumID=32&threadID=41479&messageID=486904
https://www.googlemania.com/noticias.php?913&Ingreso+a+cuentas+de+terceros+con+GMail+Drive
Entre alguno de ellos, en sí no ha sido entendida, pues muchos se acojen a : " es una vulnerabilidad debida a un mal uso de los passwords del usuario local que se encuentra en ese momento en la maquina", esto en realidad no es así.
Pues se entiende que, si el usuario se loguea en un disco virtual que da acceso a un sistema de archivos remotos, el cual al abrirlo NO da acceso a los correos que se encuentran en gmail, el error estaría en que esa utilidad, no deberia dar acceso a la cuenta de correo al ser dos servicios totalmente diferentes.
Sí sabemos que todo ataque que se lleve acabo en una máquina por un usuario que esté sentado en ella tendrá un alto porcentaje de éxito; pero aun asi, si el usuario se loguea en un servicio de discos duros virtuales, dicho servicio no debería dar acceso a otros servicios y menos sin estar soportado por Google.
Así pues , ¿Quién es el que realmente falla? ¿Gmail Drive al dar acceso a esa cuenta o bien Gmail por dar acceso a la cuenta a los usuarios logueados en Gmail drive?
como si de una unidad virtual se tratase.
Despues de instalarnos ese disco Gmail Drive y estudiarlo un poco, vimos que por alguna circunstancia, al hacer login en el disco, éste se abría como debería ser; pero si poníamos en el navegador la url de gmail ésta nos redirigía automáticamente a la
cuenta de correo del usuario y que además, al mirar ese disco en Mi PC, como etiqueta del volumen , veremos el nombre de usuario de la cuenta con la que se inició la sesión y que , además, al mirar
las propiedades de ese disco, la vulnerabilidad permite revelar el nombre del usuario, y brinda , además , el acceso total a la cuenta respectiva en Gmail, a cualquier usuario que acceda a la misma computadora en forma local.
Esta vulnerabilidad puede ser fácilmente explotada en ambientes donde muchos usuarios accedan a la misma computadora, pero no tiene forma de ser explotada en forma remota.
Aunque han sido muchos sitios de prestigio los que han publicado la
vulnerabilidad:
https://www.securitytracker.com/alerts/2004/Oct/1011758.html
https://vsantivirus.com/vul-gmaildrive-181004.htm
https://reviews.cnet.com/5208-6132-0.html?forumID=32&threadID=41479&messageID=486904
https://www.googlemania.com/noticias.php?913&Ingreso+a+cuentas+de+terceros+con+GMail+Drive
Entre alguno de ellos, en sí no ha sido entendida, pues muchos se acojen a : " es una vulnerabilidad debida a un mal uso de los passwords del usuario local que se encuentra en ese momento en la maquina", esto en realidad no es así.
Pues se entiende que, si el usuario se loguea en un disco virtual que da acceso a un sistema de archivos remotos, el cual al abrirlo NO da acceso a los correos que se encuentran en gmail, el error estaría en que esa utilidad, no deberia dar acceso a la cuenta de correo al ser dos servicios totalmente diferentes.
Sí sabemos que todo ataque que se lleve acabo en una máquina por un usuario que esté sentado en ella tendrá un alto porcentaje de éxito; pero aun asi, si el usuario se loguea en un servicio de discos duros virtuales, dicho servicio no debería dar acceso a otros servicios y menos sin estar soportado por Google.
Así pues , ¿Quién es el que realmente falla? ¿Gmail Drive al dar acceso a esa cuenta o bien Gmail por dar acceso a la cuenta a los usuarios logueados en Gmail drive?
