Grave fallo en Froogle
Un importante fallo de seguridad en Froogle descubierto el pasado mes de Enero, el buscador de Google aún en fase beta, que permite localizar ofertas y comparar precios en listas de compras on-line, fue descubierto por Nir Goldshlager, un conocido hacker israelí.
Utilizando esta vulnerabilidad, si se inserta un determinado Javascript en un URL (enlace), que apunte a Froogle, un usuario malicioso puede ingresar a la cuenta de Gmail de su víctima.
El código en Javascript, redirecciona al navegador a un sitio web creado por el atacante, donde el pirata informático puede leer la cookie del usuario atacado, y obtener datos personales tales como historial de compras, y el nombre de usuario y la contraseña para otros servicios de Google.
Según el descubridor de este agujero, incluso si el usuario tuviera seleccionada la opción de no almacenar las cookies, el atacante podría igual descubrir el nombre de usuario y la contraseña para servicios de Google tales como las Alertas, o Google Groups, debido a que Google almacena un único número por usuario, que lo identifica en otros servicios.
Comentarios: