Este experimento muestra lo fácil que es conseguir tu email sin que te des cuenta

Smartphone en la mano
  • Uno de los objetivos más codiciados de los ciberdelincuentes y los spammers es obtener direcciones de correo válidas que además estén activas y sean consultadas por los usuarios.
  • De poco sirve un email que el usuario solo utiliza para registrarse en sitios secundarios, y nunca lee.

El blog XSS Jigsaw ha descubierto cómo capturar cuentas de correo de Gmaila través de una vulnerabilidad en el widget Google YOLO, una herramienta de Google destinada a los desarrolladores que permite identificar a un usuario una única vez con una cuenta de Google, e iniciar sesión automáticamente las siguientes veces que regrese a la app o web sin que tenga que introducir en ningún momento su contraseña.

Capturar correo Gmail

Basta un sencillo truco de Clickjacking para obtener el nombre de usuario, foto de perfil y la dirección de email de cualquier persona que se identifique a través de Google YOLO, pese a que en teoría esta herramienta es una pasarela que permite la identificación del usuario sin que la web o app conozca sus datos.

Botones ocultos y transparentes

El Clickjacking es una técnica de hackeo y robo de información que se ha usado durante años porque es inherente al propio lenguaje de programación web.

El código HTML tiene un elemento llamado <iframe> que se usa para embeber una página web, un vídeo o una app dentro de una página principal. Es decir, introducir un elemento interactivo externo dentro de tu web. Es una función muy potente que usan muchas páginas, desde Facebook a webs tecnológicas o tiendas y servicios para integrar vídeos, enlaces, anuncios, etc.

El lenguaje de diseño gráfico CSS, también muy utilizado en prácticamente todas las webs, tiene una propiedad llamada position que permite colocar un elemento encima de otro elemento. Y otra llamada pointer-events que permite pasa un click de ratón a través de un elemento, para en realidad accionar otro. Como vemos en esta imagen, un botón inofensivo podría esconder detrás un botón oculto para robarte todo tu dinero (es solo un ejemplo exagerado, pero usado desde hace años):

Capturar correo Gmail

Otra técnica similar es elLikejacking, que usa otro concepto (CSS opacity) para hacer un botón transparente (invisible), y colocarlo encima de otro aparentemente inofensivo, del tipo "pulse aquí para ver el vídeo". Al pulsar, lo que en realidad haces en dar un clic a un botón transparente con un Me Gusta de Facebook, por ejemplo. De esta forma se consiguen likes sin que los usuarios se enteren.

Las páginas webs y redes sociales combaten este tipo de trampas usando técnicas como la de pedir confirmación de antes de aceptar un Like, o la verificación en dos pasos. Pero no siempre abarcan todas las posibilidades de engaño.

Las últimas versiones de HTML incluyen nuevas funciones como X-Frame-Options que permiten a las webs descubrir si otra web embebida, un video o algo externo que inserten en su página, introducen botones ocultos o transparentes que hagan cosas que no deben. Pero estas soluciones también tienen bugs o limitaciones de uso.

El problema de Google YOLO

Todo esto se esconde detrás de la vulnerabilidad en Google YOLO que ha descubierto XSS Jigsaw.

Google YOLO es un widget de Google basado en <iframe> que permite identificar al usuario una única vez con una cuenta de Google en una web, e iniciar sesión cuando retornemos a ella, sin necesidad de volver a introducir la contraseña.

Todo este proceso de identificación es opaco para la web externas, que no conocen los datos del visitante. Sin embargo, XSS Jigsaw han conseguido robar el nombre, la foto de perfil y la dirección de correo de Gmail de aquellos que entran en la web a través de Google YOLO.

¿Y como lo hace? Usando la vieja técnica del Clickjacking.

Cuando entras en la web, aparece el típico y aborrecido mensaje que vemos en todas las páginas indicando que "esta página usa cookies y tienes que pulsar en OK para aceptarlas".

Cuando lo haces en realidad estás activando un código que se aprovecha de una de las limitaciones de <iframe> para leer el nombre de usuario, foto de perfil y dirección de correo del visitante que se ha identificado para acceder a los supuestos servicios de la web:

Capturar correo Gmail

XSS JIgsaw envió a Google este incidente de seguridad, pero Google les ha respondido diciendo que es "un comportamiento esperado" y que el widget tiene que ser frameable para poder funcionar, así que no se puede arreglar. Sin embargo, curiosamente, ha bloqueado el dominio del blog XSS Jigsaw para que no pueda usar Google YOLO.

Si el fallo es inofensivo, ¿por qué bloquean su dominio?

Descubre más sobre , autor/a de este artículo.

Conoce cómo trabajamos en Business Insider.