Un importante fallo de seguridad en Froogle, el buscador de Google aún en fase beta, que permite localizar ofertas y comparar precios en listas de compras on-line, fue descubierto por Nir Goldshlager, un conocido hacker israelí.
Utilizando esta vulnerabilidad, si se inserta un determinado Javascript en un URL (enlace), que apunte a Froogle, un usuario malicioso puede ingresar a la cuenta de Gmail de su víctima (Gmail es el servicio de correo gratuito, también de Google).
El código en Javascript, redirecciona al navegador a un sitio web creado por el atacante, donde el pirata informático puede leer la cookie del usuario atacado, y obtener datos personales tales como historial de compras, y el nombre de usuario y la contraseña para otros servicios de Google.
Según el descubridor de este agujero, incluso si el usuario tuviera seleccionada la opción de no almacenar las cookies, el atacante podría igual descubrir el nombre de usuario y la contraseña para servicios de Google tales como las alertas (http://www.google.com/alerts?q=&hl=es), o Google Group (http://groups-beta.google.com/), debido a que Google almacena un único número por usuario, que lo identifica en otros servicios.
Fuente:
Ynet (en hebreo)
http://www.ynet.co.il/articles/0,7340,L-3031962,00.html
Serious flaw in Froogle Reveals Gmail Accounts
http://www.aviransplace.com/index.php/archives
/2005/01/13/serious-flaw-in-froogle-reveals-gmail-accounts/
Relacionados:
Froogle (Smart shopping through Google)
http://froogle.google.com/
Google Groups beta
http://groups-beta.google.com/
Alertas de Google (BETA)
http://www.google.com/alerts?q=&hl=es
Gmail
https://gmail.google.com/
(c) Video Soft – http://www.videosoft.net.uy
(c) VSAntivirus – http://www.vsantivirus.com