Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
24/10/2012
Google Drive para escritorio abre puerta trasera a nuestra cuenta de Google
Los clientes de sincronización para Windows y Mac OS X sufren un problema de seguridad por el que se permite el acceso a la cuenta del usuario sin necesidad de introducir su contraseña.
Los clientes de escritorio para Google Drive permiten a usuarios curiosos de un equipo compartido acceso completo a la cuenta de Google que se haya configurado, incluyendo el correo electrónico de GMail, contactos y eventos del calendario, entre otros. Esto se consigue tras pulsar "Visit Google Drive on the web" (visitar Google Drive en la web), los usuarios acceden automáticamente a su cuenta de Google sin tener que introducir su contraseña.
La utilidad de sincronización incluye un enlace "Visit Google Drive on the web", que inicia la sesión del usuario automáticamente en la interfaz web de Google Drive, lo cual puede ser considerado normal. El problema es el hecho de que esta sesión puede ser usada para acceder también a cualquier otro servicio de Google, como GMail o Calendar, entre otros.
Aunque el usuario cierre de forma explicita la sesión en su navegador web pulsando el enlace correspondiente, el cliente de Drive volverá a abrir una nueva sesión sin necesidad de introducir la contraseña del usuario. El cliente de escritorio solicita las credenciales del usuario una sola vez, durante la instalación y configuración inicial.
Esta puerta trasera es especialmente problemática si el usuario comparte su cuenta con otros o cuando el equipo no está protegido por contraseña. Esto puede simplificar también el acceso a la cuenta de Google del usuario para troyanos y otros tipos de software malicioso.
Este fallo se produce aunque el usuario haya configurado el sistema de doble autenticación, que requiere que los usuarios introduzcan un código de verificación de un solo uso cada vez que inician sesión en su cuenta, ya que el código solo se solicita, junto con la contraseña, durante la instalación del cliente.