Descubierta una vulnerabilidad en Gmail mediante un email que ofrecía trabajo en Google

Un usuario de Gmail, el servicio de correo de Google, ha detectado una vulnerabilidad en el sistema. Este fallo fue descubierto cuanto el matemático Zachary Harris recibió una oferta de trabajo de la propia Google. El problema de Gmail radicaba en la clave DKIM, utilizada para iniciar sesión en los dominios de correo electrónico.

Todo comenzó con un extraño email de un reclutador de Google enviado al matemático de 35 años, Zachary Harris. En dicho correo, le ofrecían un puesto como ingeniero en fiabilidad web. “Es obvio que tiene pasión por Linux y por la programación. Me gustaría saber si usted está abierto a explorar, confidencialmente, oportunidades en Google”, decía el email.

La primera opción que barajó Harris fue que el email había sido falsificado, enviado por un estafador que quería hacerse pasar por un empleado del gigante de las búsquedas. Sin embargo, cuando el matemático examinó toda la información que había en el correo, se dio cuenta de que todo estaba en orden y parecía legítimo.

Harris se percató de que Google estaba usando una clave criptográfica débil para certificar a los destinatarios de que su correspondencia venía de un dominio legítimo de Google. Por lo tanto, cualquier persona que pueda desvelar esa clave, podría utilizarla para suplantar a un remitente.

El problema radicaba en la clave DKIM (DomainKeys Identified Mail) que Google utiliza para Gmail. DKIM incluye una clave criptográfica que se utiliza para iniciar sesión en los dominios de correo electrónico y sirve para confirmar a un destinatario que la información del encabezado en un e-mail es correcta. Cuando el correo electrónico llega a su destino, el receptor puede buscar la clave pública a través de los registros DNS del remitente y verificar la validez de la firma.

“El hecho de que yo entrara en esto sin saber lo que es una cabecera DKIM, demuestra que alguien con conocimientos técnicos suficientes puede resolverlo sobre la marcha”, asegura Harris.

Por razones de seguridad, las llamadas estándar DKIM son de, al menos 1.024 bits de longitud. Sin embargo, Google estaba usando una clave de 512 bit que podría ser fácilmente corrompible. Teniendo en cuenta todo esto, Harris pensó que Google no podría ser tan “descuidado” por lo que el matemático, pese a no estar interesado en la oferta de trabajo, desencriptó la clave y envió un mensaje a los fundadores de Google, Sergey Bin y Larry Page.

Harris se aseguró que los mensajes que se enviaran desde las cuentas de los fundadores del gigante de las búsquedas le llegaran también a él. Sin embargo, dos días después las claves encriptadas del correo de Google habían cambiado repentinamente a 2.048 bits. Además, Harris nunca recibió respuesta de los fundadores de Google.

Por ello, Harris se dio cuenta de que la vulnerabilidad que había encontrado era cierta. Además, comenzó a explorar otras webs y se percató de que muchas de ellas tenían el mismo problema con las claves DKIM: PayPal, Yahoo, Amazon, eBay, Apple, Dell, LinkedIn, Twitter, SBCGlobal, Bank EE.UU., HP, Match.com y HSBC.

Según la revista Wired, una portavoz de Google ha afirmado que la compañía ha estado trabajando en esta vulnerabilidad y ya ha revocado las claves para todos sus dominios afectados y reeditado otros nuevos mayores de 1.024 bits.

Fuente: Yahoo