Los cazarrecompensas revelan ocho vulnerabilidades en los servicios de Google

Investigadores de seguridad han descubierto ocho vulnerabilidades en los servicios de Google durante la conferencia Hack in The Box que esta semana se ha celebrado en Amsterdam, aunque aseguran haber descubierto más de cien fallos en los últimos meses.
Las vulnerabilidad reveladas por los investigadores afectan a la plataforma Blogger de Google, su servicio Analytics, o Google Calendar, estos últimos los más interesantes, según los expertos.

Las vulnerabilidades Cross-site-scripting (XSS) han sido las más comunes encontradas en los servicios de Google. Este tipo de ataques, que permiten la ejecución de código malicioso, no sólo se utilizan para robar datos de cuentas, sino también para hackear el ordenador de la víctimas. “Hackear tu cuenta de Gmail no es tan interesante como hackear tu ordenador”, han dicho los expertos. Los investigadores han encontrado la manera de que un usuario de Google Calendar genere un ataque XXS utilizando la opción de compartir aplicación.

También aseguran que es fácil saber qué sites utilizan Analytics porque el código del servicio puede verse en el código de la página web. Analytics permite a los atacantes enviar un enlace XSS al administrador de una web a través de una URL.

Avraham y Goldshlager, que es como se llaman los dos expertos de seguridad que han descubierto los fallos, son cazarrecompensas, expertos que buscan fallos en el software de vendedores que pagan por conocerlos. Compañías como Google, Facebook o Mozilla son algunas de las que hacen uso de este tipo de servicios, pagando entre 500 y 3.000 dólares por vulnerabilidad descubierta en su software.