Una grave vulnerabilidad relacionada con las Cookies en Chrome está permitiendo a atacantes hacerse con cuentas de Google ajenas sin permiso, incluso aunque el usuario haya cambiado recientemente la contraseña. Se trata de un malware del que, por suerte, la compañía ya tiene constancia. Google, de hecho, ha compartido una solución.
En concreto, la vulnerabilidad, descubierta inicialmente por un desarrollador, según se detalla en un artículo de CloudSEK, permite a los atacantes instalar malware en equipos para “extraer y descifrar tokens de inicio de sesión almacenados en la base de datos local de Chrome”.
Después, estos tokens se utilizan para enviar una solicitud a una API de Google destinada a sincronizar cuentas en los diferentes servicios que tiene la compañía, lo que permite, crear “cookies de Google estables y persistentes” relacionadas con la autenticación y, por tanto, acceder a las diferentes cuentas de Google. El problema es que los atacantes pueden realizar este mismo proceso en repetidas ocasiones, incluso aunque el usuario cambie la contraseña de su cuenta de Google. No está claro, además, si la autenticación en dos factores evita que los atacantes puedan tener acceso a las cuentas.
Por otro lado, y tal y como detalla BleepingComputer, “al menos seis ladrones de información afirman actualmente tener la capacidad de regenerar las cookies de Google utilizando este punto final API”, por lo que la vulnerabilidad ha sido aprovechada por hackers en repetidas ocasiones.
Google ya está al tanto de este malware: esta es la solución
9to5Google ha tenido acceso a las declaraciones de Google sobre esta vulnerabilidad que puede afectar gravemente a las cuentas de los usuarios. La compañía afirma que “está al tanto de informes recientes sobre una familia de malware que roba tokens de sesión”. Destaca, además, que este tipo de vulnerabilidades no son nuevas, y que están constantemente trabajando para evitarlas.
En este caso, la compañía subraya que hay algunos errores en los informes compartidos por los diferentes portales y que, realmente, sí hay forma de evitar que los atacantes puedan acceder a la cuenta de Google de un usuario. Simplemente, deben cerrar sesión en el navegador afectado o en el dispositivo. Se puede hacer, incluso, de forma remota.
“Es importante tener en cuenta que hay una idea errónea en los informes que sugiere que el usuario no puede revocar los tokens y las cookies robadas. Esto es incorrecto, ya que las sesiones robadas pueden invalidarse simplemente cerrando sesión en el navegador afectado o revocarse de forma remota a través de la página del dispositivo del usuario. Continuaremos monitoreando la situación y brindando actualizaciones según sea necesario”.
Google.