martes, 30 de octubre de 2012

Vulnerabilidad en GMail: Certificación de Destinatarios

Hace uno días un usuario de GMail revivió una oferta de trabajo de la mismísima Google. Sorprendido por esa noticia el matemático Zachary Harris, decidió investigar sobre esto y encontró que el problema estaba en  la clave DKIM (vamos, el mecanismo para autentificar el mail).

Zachary Harris

Buscando y rebuscando, vio que Google usando una clave de longitud demasiado corta/débil. Normalmente  las claves DKIM son de 1024 bits de longitud y la Google iba con solo 512 bits. Zachary consiguió descifrar la clave y la envió inmediatamente a Google. Dos días después las claves DKIM de dicha empresa las doblaron a  2048 bits. Zachary Harris no ha recibido ni un "Gracias" de nadie del equipo de Google. (aunque después de esto trabajo no le va a faltar seguro.) 

Lo malo de todo esto es que si Google usaba 512 bits podéis deducir que eBay, Yahoo, Twitter ,etc también lo usan. 



No hay comentarios:

Publicar un comentario