Redirección en Google deja puerta abierta al SPAM y el Phishing

Escrito el 12 abril 2008, 05:46pm en Seguridad

Tagged with: , , , , , , , ,

Ignacio Sbampato escribía en su blog sobre una “característica” de Google, más precisamente en las URLs encargadas del manejo de los clics en sus anuncios patrocinados, que permitiría su utilización en campañas de SPAM y Phishing si así se quiere.

Antes que nada hay que recalcar que el tema de la utilización de redirecciones para fines pocos éticos no es un tema nuevo, pero el problema en este caso es que el script encargado de realizar la redirección para los anuncios patrocinados de Google se encuentra alojada en todos sus servidores y puede ser accedido desde cualquier dominio/subdominio valido de Google.

La URL en cuestión es la siguiente:
http://www.google.de/pagead/iclk?sa=l&ai=XXXXXX&num=XXXXXX&adurl=XXXXXX

Como dije anteriormente, uno puede utilizar prácticamente cualquier dominio de Google para realizar esta redirección:
http://checkout.google.com/pagead/iclk?sa=l&ai&adurl=http://sitio-malicioso.com

Pero, ¿qué es Google Checkout?

Es un servicio el cual permite realizar transacciones (compra y ventas) vía Internet utilizando nuestra tarjeta de crédito, en cierta forma es un sistema que intenta competir con PayPal pero todavía no ha tenido mucho éxito; en fin, uno podría aprovechar esto para realizar una campaña de promoción de Google Checkout, diciendo que con cada nuevo registro el usuario recibe un bono de X cantidad de dólares o euros, como el formulario de registro real de Checkout solicita una tarjeta de crédito al creer la cuenta, la mayoría no sospecharía, además de que el enlace en el correo (SPAM) enviado seria de Google, lo cual generaría menos sospechas.

Este es solo un ejemplo de lo que se podría lograr, basta sentarse por unos minutos a pensar para que nuestra creatividad nos de otras maneras de aprovechar este error o debilidad del sistema. Google fue informado hace ya más de 15 días, y estarían tratando de solucionarlo cuanto antes.

Enlaces relacionados:

Spam y Fraude de Clics todo en uno (en teoría, Marge)
http://virusattack.blogspot.com/2008/03/spam-y-fraude-de-clics-todo-en-uno-en.html

12 días después, todo sigue igual…
http://virusattack.blogspot.com/2008/04/12-das-despus-todo-sigue-igual.html

Comments (1)

Los comentarios están cerrados para este artículo.