Identifican una vulnerabilidad en el protocolo de Google OAuth que permite el acceso no autorizado

3 de enero de 2024
1 minuto de lectura
Google
Interfaz del navegador de Google en un ordenador portátil. | Fuente: EP

Un ‘endpoint’ no documentado facilita la restauración de ‘cookies’ de sesión caducadas

Un equipo de investigadores ha identificado una vulnerabilidad en el protocolo de acceso autorizado de Google OAuth. El endpoint no documentado, conocido como MultiLogin, ha posibilitado a ciberdelincuentes restaurar cookies de sesión expiradas, y les ha permitido acceder a cuentas de usuarios sin autenticación.

Las cookies de sesión que almacenan información de la sesión de navegación, como preferencias de idioma y datos de acceso, ahora pueden ser restauradas incluso después de su caducidad. A diferencia de las cookies persistentes, que permanecen en el ordenador hasta su eliminación, las de sesión se borran al cerrar el navegador, para proporcionar mayor seguridad.

Amenaza persistente en Google OAuth

Desarrolladores de malware como Lumma, Rhadamanthys, Risepro, Meduza y Stealc Stealer han incorporado la capacidad de restaurar cookies de autenticación de Google en campañas maliciosas. Esta amenaza persiste incluso después de que los usuarios cierren sesión, cambien contraseñas o expiren sesiones.

La amenaza se originó en octubre, cuando un usuario llamado PRISMA reveló una técnica para mantener válidas las sesiones y generar cookies incluso después de cambios de contraseña. Los investigadores de Cloudsek aplicaron ingeniería inversa al exploit y descubrieron la explotación del endpoint no documentado de Google OAuth, MultiLogin.

MultiLogin y su rol en la autenticación del usuario

MultiLogin, un mecanismo interno para sincronizar cuentas de Google entre servicios, juega un papel crucial en la autenticación del usuario. Sin embargo, los ciberdelincuentes pueden aprovecharlo si manipulan los mecanismos internos de autenticación de Google. El endpoint acepta vectores de ID de cuenta y tokens de inicio de sesión, esenciales para gestionar sesiones simultáneas.

Persistencia de la vulnerabilidad

A pesar de que los usuarios restablezcan contraseñas, la vulnerabilidad persiste, al permitir una explotación prolongada y potencialmente desapercibida de cuentas y datos de usuario. Los investigadores advierten sobre la importancia de abordar adecuadamente los mecanismos de autenticación internos de Google para prevenir posibles ataques.

F. I. Últimas Noticias
  1. 30 años sin Martes y Trece: el dúo que hizo reír a toda España
  2. Periodistas de CNN detenidos y agredidos por militares israelíes en Cisjordania
  3. Alerta roja en Cataluña: Viento huracanado y desplome de temperaturas azotan España este domingo
  4. Pedro Sánchez busca dar un golpe de efecto en la economía al final de la legislatura

Responder

Your email address will not be published.

Relacionados

Felipe González en El Hormiguero
28 de marzo de 2026

La guerra de Irak es actual, muy actual

Felipe González no ha dicho palabra sobre la guerra de Irán y el Golfo Pérsico desde el 28 de febrero de 2026 El expresidente ha participado este jueves 26 de marzo en un…

No olvides...

Trump busca la manera de negociar con Irán tras un mes de guerra

Estados Unidos explora un acuerdo para frenar el conflicto mientras Israel advierte de que intensificará sus ataques El conflicto con…

Dos incendios forestales movilizan decenas de efectivos en León y Lugo

El fuego de Lomba (León) alcanza nivel de gravedad 1 mientras en Ourol (Lugo) ya ha arrasado unas 30 hectáreas…
Felipe González en El Hormiguero

La guerra de Irak es actual, muy actual

Felipe González no ha dicho palabra sobre la guerra de Irán y el Golfo Pérsico desde el 28 de febrero…

La policía frustra un atentado con explosivos frente a un banco en París

La gendarmería francesa detiene a un sospechoso tras colocar un artefacto casero ante un edificio del Bank of America en…