Mundo Gaturro[1] es un Second Life[2] tercer mundista para niños. Para respetar el buen gusto y no sé si alguna normativa, los gaturritos deben manejar su cuenta por medio de sus gatutores. No me he fijado todas las cosas que hay para configurar y controlar, sólo me interesa la gestión de cambio de contraseñas, que puso a un conocido en posición de víctima.
User Story
El gaturrito quiere cambiar su contraseña, entonces entra al diálogo de cambio de contraseña del gaturrito y pone la dirección del gatutor. Éste recibe un link con un código y al seguirlo, cambia la contraseña del gaturrito.
¿Qué encontré "in the wild"?
El gatutor quiere cambiar su contraseña, entonces entra al diálogo de cambio de contraseña del gatutor y pone la dirección del gatutor. Éste recibe un link con un código y al seguirlo, cambia la contraseña del gatutor.
Si te desenchufás de la vida a mil que llevás, te sacás la impaciencia y volvés a leer los dos párrafos anteriores con atención y jugás a encuentrar las tres diferencias, vas a ver que hay algo interesante.
Está bien, es razonable que los workflows sean parecidos. Tampoco es posible evitar que cualquiera pueda iniciarlo.
Ahora te voy a mostrar las capturas de pantalla, para que veas como, un gaturrito podría pedir cambio de contraseña muchas veces hasta dejarle las gatubolas por el piso al gatutor y ahí aprovechar y pasarle el link de cambio del gatutor y pedirle que se ponga una contraseña al conocida por el gaturrito.
Attacker Story
Etapa de ablande
El gaturrito inicia el trámite de cambio de su contraseña
El gatutor ingresa el código y la nueva contraseña del gaturrito.
Ejecución del ataque
El gaturrito inicia el trámite de cambio contraseña del tutor
El gatutor recibe un mail con un link y un código
El gatutor ingresa el código y la nueva contraseña del gatutor.
Si, ya sé, dice "Ingresá tu plin plin plin para padres". Pero, ¿quién, hoy en día, se pone a leer todas esas frasecitas donde, como somos todos gatutores jóvenes modernos las frases y los dibujitos son equivalentes con el otro procedimiento?
Este ataque fue perpetrado de modo involuntario por un gaturrito que se equivocó y seleccionó el procedimiento de cambio de contraseña del gatutor en lugar del propio.
¿Y a quién le importa esto? Que hay un dinero virtual circulando en gatulandia y se paga con dinero real...
Que algún pervertido que logra obtener la dupla (gatuID, mail del gatutor), puede controlar los controles de la cuenta del gaturrito.
Mitigación
La solución que le propuse a mundo gaturro es destacar mucho más que estás cambiando la contraseña tuya, no la del bastardito que te quiere hackear. Lo dije de otro modo, pero el significado era el mismo. El escenario del pervertido del algún modo lo tenía no lo mencioné, pero recién lo descubrí ahora mientras escribo.
Es verdad que no me maté, pero mandé mail a info@gaturro y alguna otra dirección para que me pasaran a donde reportar y no me han dado peloturra, así que comparto esto para la diversión de todos. Consideré enviarlo a full disclosure[3] pero me pareció overkill y además podría atraer la atención de atacantes de verdad. Si tenés contactos en mundo gaturro, avisales por favor.
[1] http://www.mundogaturro.com/
[2] http://secondlife.com is a free 3D virtual world where users can socialize, connect and create using free voice and text chat.
[3] http://lists.grok.org.uk/full-disclosure-charter.html es una lista donde se exponen vulnerabilidades de sistemas operativos, protocoles, aplicaciones y sitios web.
No hay comentarios:
Publicar un comentario