Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
24/10/2012
Google Drive per a escriptori obri porta posterior al nostre compte de Google
Els clients de sincronització per a Windows i Mac OS X patixen un problema de seguretat pel qual es permet l’accés al compte de l’usuari sense necessitat d’introduir la seua contrasenya.
Els clients d’escriptori per a Google Drive permeten a usuaris curiosos d’un equip compartit l’accés complet al compte de Google que s’haja configurat, incloent-hi el correu electrònic de gmail, contactes i esdeveniments del calendari, entre altres. Açò s’aconseguix després de polsar “Visit Google Drive on the web” (visitar Google Drive en la web), els usuaris accedixen automàticament al seu compte de Google sense haver d’introduir la seua contrasenya.
La utilitat de sincronització inclou un enllaç “Visit Google Drive on the web”, que inicia la sessió de l’usuari automàticament en la interfície web de Google Drive, la qual cosa pot ser considerat normal. El problema és el fet de que esta sessió pot ser usada per a accedir també a qualsevol altre servici de Google, com gmail o el calendari, entre altres.
Encara que l’usuari tanque de forma explicita la sessió en el seu navegador web polsant l’enllaç corresponent, el client de Drive tornarà a obrir una nova sessió sense necessitat d’introduir la contrasenya de l’usuari. El client de l’escriptori sol·licita les credencials de l’usuari una sola vegada, durant la instal·lació i configuració inicial.
Esta porta posterior és especialment problemàtica si l’usuari compartix el seu compta amb altres o quan l’equip no està protegit per contrasenya. Açò pot simplificar també l’accés al compte de Google de l’usuari per a troians i altres tipus de programari maliciós.
Este error es produïx encara que l’usuari haja configurat el sistema de doble autenticació, que requerix que els usuaris introduïsquen un codi de verificació d’un sol ús cada vegada que inicien sessió en el seu compte, ja que el codi només se sol·licita, junt amb la contrasenya, durant la instal·lació del client.