Descubren por azar una vulnerabilidad en el correo de Google.

Descubren por azar una vulnerabilidad en el correo de Google.

 

 

El matemático Zach Harris, especializado en Linux, recibió en su buzón de correo un email procedente de un buscador de talentos de Google. En él se le preguntaba acerca de su disposición para trabajar con la compañía. El desarrollador pensó que el conjunto del mensaje tenía algo raro e investigando encontró una vulnerabilidad en el correo electrónico. Creyendo que se trataba de uno de los retos a los que se somete a los futuros empleados, aprovechó el agujero de seguridad para suplantar la identidad de los fundadores Sergey Brin y Larry Page.

La vulnerabilidad descubierta ha resultado ser un agujero de seguridad que permitía a alguien, con las capacidades y el interés suficiente, enviar emails suplantando la identidad de cualquier empleado de Google.

El email que recibió Harris alababa su “pasión por Linux y por programar” y el emisor quería saber si estaba interesado en “explorar confidencialmente oportunidades con Google”, para un puesto de ingeniero enfocado a comprobar la fiabilidad de los servicios de la compañía. Y precisamente ésa es la función que este matemático de 35 años ha cumplido, aunque sin estar en nómina de la empresa (y sin ser consciente de lo que hacía).

Harris se mostró escéptico en un primer momento, ya que para alguien con sus capacidades el puesto que le ofrecían no parecía el más adecuado. Pensó que podría tratarse de una broma y examinó el contenido del email. Todo parecía correcto, pero se dio cuenta de un detalle. Google usaba una clave criptográfica débil para certificar a los receptores de los correos que éstos provenían en efecto de un dominio corporativo legítimo.

Esta clave (DomainKeys Identified Mail o DKIM) debe tener al menos una extensión de 1.024 bits, según los estándares, pero Google utilizaba en el mail únicamente 512 bits. Como Harris pensó que el gigante de Mountain View no dejaría tan desprotegidos sus correos, el matemático creyó que se trataba de uno de los retos a los que la firma somete a candidatos para un empleo.

Se propuso, por tanto, superar la prueba, aunque no tenía especial interés en el puesto de trabajo. “Pensé que era divertido. De verdad quería resolver el problema y probar que podría hacerlo”, afirma.

Cuando lo tuvo resuelto Harris utilizó la vulnerabilidad para enviar un email a cada uno de los fundadores de Google, Sergey Brin y Larry Page, haciéndose pasar en cada caso por el otro. Lo organizó todo para que las respuestas le llegaran a su correo, pero no llegó nada y a los dos días se dio cuenta de que la clave criptográfica de Google había incrementado su seguridad.

Había resultado ser una vulnerabilidad real lo que Harris había descubierto. Pero no se quedó ahí. Investigando posteriormente comprobó que el mismo problema con el correo existía para un largo listado de compañías punteras. PayPal, Yahoo, Amazon, eBay, Apple, Dell, LinkedIn, Twitter, SBCGlobal, US Bank, HP, Match.com y HSBC también tenían un agujero de seguridad similar.