Also available in english version at:
http://www.elhacker.net/gmailbug/english_version.htm
INTRODUCCI�N
Este bug ya ha sido corregido por Google y por eso ha sido publicado (Octubre-Noviembre 2005)
En este manual se explica paso a paso como explotar la vulnerabilidad del Gmail que te daba acceso a cualquier cuenta, reportada por Anelkaos, colaborador del foro de elhacker.net y parcheada por Google el día 18 de Octubre. Dada la gravedad del bug (permitía en unos sencillos pasos acceder a cualquier cuenta gmail) se decidió no publicar este documento mientras el fallo continuara activo. Los motivos son más que obvios puesto que TODAS las cuentas de gmail quedaban al descubierto.
Google no se ha pronunciado definitivamente al respecto, y parece que no tiene intenci�n de reconocer el bug. La veracidad del fallo fué demostrada ante los editores de la revista Seguridad0, entrando en una cuenta creada con ese prop�sito, tal como se describe en http://www.elistas.net/lista/informativos/archivo/indice/61/msg/79/. También se "atrevieron" a publicar la noticia CyruxNET y PCWorld.
El bug fué descubierto el día 14 y el bug se cerr� el día 18 gracias a que ANELKAOS decidió contactar con Gmail en vez de publicar el bug en alguna lista de seguridad, y lamentablemente no pudimos hacer otras demos en otro sitios donde mandamos la noticia, y como no somos HBX Networks, todos nos ped�an un hackeo de prueba. Menos mal que tenemos guardados todos los emails donde Google si reconoce el fallo. ;).
A diferencia del reportado por HBX y publicado en BetaNews el a�o pasado, este no requiere robo de cookies, con lo que su peligrosidad era bastante m�s elevada.
PROCEDIMIENTO
Esta es la forma que desarroll� Sirdarckcat, compa�ero de EHN, aunque el m�todo original es algo m�s simple, el concepto es el mismo.
Debido a que este demostraci�n fue realizada contra una cuenta ajena, se han ocultado todos los datos con informaci�n que pueda traer consecuencias legales. En la variable AUTH va cifrada la direcci�n del propietario del correo, y aunque nosotros no sabemos descifrarla, hemos preferido ocultar sus valores, por si "otros" si pudieran :)
Primero, necesitamos 2 sesiones. Para eso hemos optado por usar Internet Explorer y Mozilla. Iniciamos sesi�n normalmente... en Mozilla por ejemplo.
Si nos fijamos, nos damos cuenta de que la pantalla de Login ahora es distinta. No pregunta solamente por si ha olvidado su contrase�a, sino que ahora pregunta adem�s por el usuario. ¿Demasiada casualidad no? Que de pronto y coincidiendo con la publicaci�n de la existencia de este bug haya habido cambios en la autenticaci�n es demasiada casualidad no? ;). Hablamos de hace 10 días :)
Bueno, seguimos. Ahora necesitamos algunos datos que modificaremos. Para eso tambi�n iniciamos sesi�n en Internet Explorer, pero detenemos el navegador en cuanto salga Loading...
Simplemente miramos el c�digo fuente y guardamos el valor de la variable ver que necesitaremos despu�s.
A continuaci�n permitimos que continu� la carga de la p�gina, y miramos la direcci�n de la bandeja de entrada, que podemos ver dando click derecho, propiedades.
Vamos a necesitar la variable zx, y la guardamos.
Vamos a mail/?username=victima&zx= [Variable zx]
y detenemos la carga de la pagina justo cuando acabe de cargarse, entrando a:
Detenemos de nuevo el navegador, y miramos el fuente.
asi
Aqu� tenemos el c�digo de auth que necesitamos para iniciar sesi�n como
nuestra victima, pero nuestra cookie no est� de acuerdo.
Miramos lo que hay en la cookie, y cambiamos el valor de ID por el de la variable ver que conseguimos al principio, esto lo que hace sorprendentemente es generar un valor v�lido. No tiene informaci�n relacionada, �Por que pasa esto? Quien sabe.
Gmail confirma que este bien cifrado, y que todo pasa correctamente las normas. Sin embargo, aunque el contenido no tiene nada que ver, no da error.
Una vez modificada la cookie, en la sesi�n de explorer.. entramos a la siguiente pagina:
http://mail.google.com/mail?gxlu=victima&zx= [Variable zx]
En este momento a�n no hemos iniciado sesi�n, solo nos hemos asociado con la cuenta de la v�ctima.
As� que vamos a: www.google.com/accounts/ServiceLoginAuth.
y este te manda a:
mail.google.com/mail/?auth= [CODIGO auth]
En este punto solo nos queda modificar los valores de las cookies que nos va a expirar.. al menos les damos 1 minuto de vida.
Entramos en mail.google.com/mail/?&&rm=false&null=Entrar&continue
detenemos el loading porque si no nos va a cerrar la sesi�n y escribimos:
javascript:document.cookie+=";expires=Thu,%2001%20Jan%202070%2000:00:00%20GMT";
Una vez alargada la vida de las cookies, entramos a mail.google.com/mail/?auth= [CODIGO auth]
y ya iniciamos la sesi�n como la victima.
Acceso completo por supuesto :)
DESPEDIDA Y CIERRE
Vale que sea una versi�n Beta, y que no tienen por qu� reportar nada. Pero si lo hubieran reconocido y publicado una nota de agradecimiento, esta informaci�n no hubiera sido publicada. Nosotros hemos conseguido llegar al mismo resultado de tres formas distintas, las otras dos bastante mas simples, con lo que f�cilmente se deduce que esto es un multibug, y un error de dise�o. Con todas estas pistas no tardar�n en salir nuevos m�todos.
