El historial web de Google es vulnerable al nuevo complemento Firesheep

Google Web History es vulnerable a nuevos Complemento Firesheep

El historial web de Google es vulnerable al nuevo complemento Firesheep 1

Dos investigadores han demostrado cómo se puede usar una versión modificada de la herramienta de detección de Wi-Fi Firesheep para acceder a la mayoría del historial web de Google de una víctima, un registro de todo lo que un individuo ha buscado.

La debilidad central descubierta por el ataque de prueba de concepto ideado por Vincent Toubiana y Vincent Verdot radica en lo que se llama una cookie de Id. De sesión (SID), utilizada para identificar a un usuario en cada servicio al que acceden mientras está conectado a uno de los servicios de Google .

Afortunadamente, el último exploit no permite a los atacantes hacerse cargo de las cuentas de Google, pero obviamente, se puede utilizar para exponer datos privados. “Si bien el acceso directo a los datos de los usuarios está sujeto a una estricta política de seguridad, el uso de servicios personalizados (que pueden filtrar esta misma información personal) no lo es,“escribieron Vincent Toubiana y Vincent Verdot, los creadores de la Firesheep modificada.

Sin duda, las cookies comprometidas se implementan en más de 20 sitios web, incluidos Google Search, Google Maps, YouTube y Blogger. Cada vez que el usuario accede a una aplicación, se envía la misma cookie SID de forma clara, que el Firesheep captura de los datos enviados ay desde una PC conectada a un punto de acceso Wi-Fi público no encriptado.

Un portavoz de Google envió una declaración:
Consideramos que las preocupaciones planteadas por estos investigadores son de naturaleza bastante académica y no representan un riesgo significativo para los usuarios. El historial web de Google y nuestro servicio de sugerencias de búsqueda web se sirven a través de HTTPS, y también hemos cifrado las solicitudes de servidor de fondo asociadas con el servicio de sugerencias. Esperamos ofrecer más soporte para las tecnologías SSL en todas nuestras ofertas de productos en el futuro, incluidos los cambios que protegerán específicamente las cookies secuestradas para que no se usen para acceder a los datos de búsqueda.

Los investigadores dijeron que los usuarios pueden protegerse al cerrar sesión en sus cuentas de Google mientras se conectan a través de redes en las que no confían. Otra contramedida es deshabilitar los filtros de búsqueda “visitados” y “sociales” de Google.