El historial web de Google es vulnerable al nuevo complemento Firesheep

Google Web History es vulnerable a nuevos Complemento Firesheep

El historial web de Google es vulnerable al nuevo complemento Firesheep 1

Dos investigadores han demostrado cómo se puede usar una versión modificada de la herramienta de detección de Wi-Fi Firesheep para acceder a la mayoría del historial web de Google de una víctima, un registro de todo lo que un individuo ha buscado.

La debilidad central descubierta por el ataque de prueba de concepto ideado por Vincent Toubiana y Vincent Verdot radica en lo que se llama una cookie de Id. De sesión (SID), utilizada para identificar a un usuario en cada servicio al que acceden mientras está conectado a uno de los servicios de Google .

Afortunadamente, el √ļltimo exploit no permite a los atacantes hacerse cargo de las cuentas de Google, pero obviamente, se puede utilizar para exponer datos privados. “Si bien el acceso directo a los datos de los usuarios est√° sujeto a una estricta pol√≠tica de seguridad, el uso de servicios personalizados (que pueden filtrar esta misma informaci√≥n personal) no lo es,“escribieron Vincent Toubiana y Vincent Verdot, los creadores de la Firesheep modificada.

Sin duda, las cookies comprometidas se implementan en m√°s de 20 sitios web, incluidos Google Search, Google Maps, YouTube y Blogger. Cada vez que el usuario accede a una aplicaci√≥n, se env√≠a la misma cookie SID de forma clara, que el Firesheep captura de los datos enviados ay desde una PC conectada a un punto de acceso Wi-Fi p√ļblico no encriptado.

Un portavoz de Google envió una declaración:
Consideramos que las preocupaciones planteadas por estos investigadores son de naturaleza bastante acad√©mica y no representan un riesgo significativo para los usuarios. El historial web de Google y nuestro servicio de sugerencias de b√ļsqueda web se sirven a trav√©s de HTTPS, y tambi√©n hemos cifrado las solicitudes de servidor de fondo asociadas con el servicio de sugerencias. Esperamos ofrecer m√°s soporte para las tecnolog√≠as SSL en todas nuestras ofertas de productos en el futuro, incluidos los cambios que proteger√°n espec√≠ficamente las cookies secuestradas para que no se usen para acceder a los datos de b√ļsqueda.

Los investigadores dijeron que los usuarios pueden protegerse al cerrar sesi√≥n en sus cuentas de Google mientras se conectan a trav√©s de redes en las que no conf√≠an. Otra contramedida es deshabilitar los filtros de b√ļsqueda “visitados” y “sociales” de Google.