El fiasco de G-Archiver

Gabolonte Blasfemus

Esta fue otra noticia sobre seguridad que sorprendió a muchos y preocupó a otros esta semana. Una aplicación shareware llamada G-Archiver, creada con el propósito de que los usuarios realicen backups de sus datos en sus cuentas de GMail, fue encontrada culpable de uno de los mayores crímenes que puede cometer un programa o sitio web: Almacenar y enviar a su creador los nombres y claves de cada cuenta que se configuraba en ella, en este caso las de las cuentas de GMail que debían ingresar quienes usaran este programa. El descubridor de este robo descarado de cuentas fue un tal Dustin Brooks, que utilizó Reflector, un decompilador para la plataforma .NET de Microsoft, sobre la cual estaba creada la aplicación. Según lo visto, el creador de este auténtico caballo de Troya, John Terry, no dio muchas vueltas e hizo algo bastante simple y burdo para obtener las claves de sus usuarios/víctimas; simplemente la aplicación enviaba un mensaje a su cuenta de GMail con los datos personales obtenidos. De esta forma, Dustin consiguió la clave de acceso al GMail de Terry, almacenada dentro del código de la aplicación para hacer posible el envío por medio de este servicio, y así pudo ingresar a esta cuenta y observar como contenía más de 1.700 mensajes con datos de cuentas robadas de GMail.

image

Desde ya los pedidos de disculpas y las rectificaciones vinieron desde el lado del creador de esta engañosa herramienta, aludiendo a un "error" que hizo que quedara una porción de código utilizada para pruebas dentro de la versión pública, y que inmediatamente sería solucionado. Lo que es seguro es que nunca más alguien que se entere de esta noticia volverá a confiar en esta aplicación o en este programador.

Vía Coding Horror, visto en Kriptópolis.


4 Responses to “El fiasco de G-Archiver”

  • SpamLoco despachó:

    No entiendo como la gente lo usó, yo lo pensaría 27 veces antes de poner la contraseña en un programa que no es de Google y pone en juego muchas cosas además del mail (siempre y cuando se usen los otros servicios).


    Usando Mozilla Firefox Mozilla Firefox 2.0.0.12 en Windows Windows XP
  • Net.Addict despachó:

    Evidentemente el que hizo la aplicación no es muy lúcido que digamos. Cualquiera q’ tenga un tiempo en esto sabe que todo lo q’ compila a IL se puede decompilar sin problemas.


    Usando Opera Mini/Mobile Opera Mini/Mobile 4.0.10406
  • Gabolonte Blasfemus despachó:

    SpamLoco, creo que es bastante entendible que haya gente que lo estuviese utilizando, o acaso nunca jamás usaste alguna aplicación no oficial para usar GMail como disco virtual, avisarte si tenés correo nuevo, o para ingresar a un servicio de mensajería instantánea? Encima era un shareware, lo cual lo hacía un poco más creíble ya que si alguien armara un programa para robar claves lo haría completamente gratuito para asegurarse un máximo alcance y ditribución. Evidentemente un chasco como este le puede pasar a cualquiera, porque son pocos los que restringirían el uso de sus cuentas a programas oficiales únicamente. Afortunadamente alguien estuvo ahi para descubrirlo.


    Usando Opera Opera 9.26 en Windows Windows XP
  • SpamLoco despachó:

    Si, no lo había pensado de esa forma. Aunque nunca use programas así, casi una ves uno de los que te avisan si recibes un correo pero al final los redirecciono a una cuenta de Hotmail, ya que el msn generalmente está ”prendido” que sirva para algo más y me indique cuando llegan correos a gmail. Lo malo es que te quedan repetidos, pero bueno.


    Usando Mozilla Firefox Mozilla Firefox 2.0.0.12 en Windows Windows XP