Un ejemplo de mala comunicación de seguridad de Google

Jugando un poco con Google Apps Script, que es un entorno de scripting de gran alcance proporcionado por Google, se pueden hacer solicitudes autenticadas contra los datos de un usuario en Google.

Al autorizar una aplicación de Google, los usuarios están permitiendo a una tercera parte el acceso a sus datos, por lo que los ataques de ingeniería social resultan demasiado fáciles, debido a que se encuentran alojados en un dominio de Google, incluso los usuarios experimentados que buscan dominios sospechosos pueden ser engañados.

Después de la autorización de la aplicación, un usuario malintencionado puede, subir el correo electrónico del usuario a un medio externo, borrar datos, o acceder a la información personal a través del API de Google.

Cómo funciona
Aquí está un simple Google Apps Script que hice. Que se encuentra alojado en Google.

Una persona malintencionada podría hacer un script usando “https://script.google.com” para que realice cualquier acción en contra de los datos de Google de un usuario. A continuación, compartí el enlace con la apariencia de una herramienta útil. Desde la URL script.google.com, parece legítimo e incluso los usuarios experimentados es probable que se dejen engañar.

Nombré mi aplicación «Actualización de seguridad de Gmail», pero podría llamarse de cualquier otra manera.

La capacidad del atacante para asignar el nombre de la aplicación es muy peligrosa. Para este post usamos como nombre «Actualización de seguridad de Gmail”. Cabe destacar que Google de ninguna manera deja claro que esta aplicación fue creada por una tercera parte, durante el proceso de autorización de la aplicación.

El usuario aprueba la aplicación, ya que parece completamente legítima:

Una vez aprobada la aplicación, en este caso solo envía los 10 primeros correos de la bandeja de entrada a la papelera, pero podría haber borrado todos los emails, leer todo el correo electrónico, reenviar correos, o acceder a la información personal a través del API de Google y enviarla a una tercera parte.

La comunicación efectiva de Seguridad a veces resulta difícil, pero considero fundamental comunicar al usuario los riesgos implicados al autorizar alguna aplicación, Google podría agregar una advertencia importante en el cuadro de autorización de la aplicación.

Dicho esto, veo complicado que un usuario común o quizás algún usuario más experimentado, entienda que se puede ejecutar código malicioso estando dentro del dominio de Google. Irónicamente después de autorizarla Google envía un correo electrónico explicando que una aplicación de una tercera parte ha sido autorizada, pero a estas alturas es, muy tarde la aplicación ya ha tenido acceso a los datos del usuario, y se ha eliminado, robado o manipulado.

Detalles adicionales
La aplicación creada para este post «Actualización de seguridad de Gmail», simplemente contiene este código:

URL de la aplicación Actualización de seguridad de Gmail(CUIDADO)

API de Google Scripting

Aplicaciones autorizadas en tu cuenta de Google

Comments

  1. Esto que comentas me preocupa bastante. Yo alguna vez he dado permiso a alguna aplicación a través de la autentificación de Google. Nunca he tenido ningún problema pero a partir de ahora me lo pensaré 2 veces antes de hacerlo. Es un peligro.