Ekoparty 2018: vulnerabilidad en Google Earth permite acceder al dispositivo de la víctima solo con abrir una ubicación

Fabián Cuchietti, investigador mendocino y especialista en pentesting, presentó en Ekoparty 2018 su charla titulada "Pwning Google Earth" los detalles de una vulnerabilidad reciente y novedosa descubierta en Google Earth que permite a un atacante ingresar de forma remota a la computadora de un tercero y acceder a información personal.

Cuchietti, quien tiene experiencia en el descubrimiento de vulnerabilidades de empresas reconocidas, como Microsoft, Mozzila, Facebook o Apple, entre otras, contó que comonenza con esta investigación hace siete meses. “Elegí buscar vulnerabilidades en Google Earth porque tenía cosas interesantes, y también porque es un producto que usan muchas empresas y organizaciones, como la NASA”, explicó el experto. Es que esta herramienta de Google puede ser utilizada, por ejemplo, por una empresa petrolera para crear sus mapas o por deportistas que hacen trekking que utilizan la herramienta para crear rutas de senderismo.

Al ser consultado sobre si la vulnerabilidad que encontró en Google Earth tiene el mismo efecto en Google Maps, el investigador explicó a WeLiveSecurity que trabajan con la misma API y los mismos servidores, y que antes de reportar la vulnerabilidad a Google era posible utilizar el mismo vector de infección en Google Maps.

Desarrollo de un exploit aprovechando los archivos KMZ

Lo que hizo Cuchietti fue desarrollar una explotación que se aprovache de los archivos KMZ que utiliza Google Earth para apagcar un conjunto de archivos y compressir contenido para que sea fácil de descargar. De esta manera, demostró que un atacante puede establecer una conexión inversa entre su equipo y la víctima, que se infecta con solo abrir la ubicación, sin necesidad de descargar nada.

Lo importante del hallazgo es que, a través de un producto de Google, un atacante puede hacer mucho daño con solo compartir una ubicación mediate enlace o coordinanas y así lograr robarte tu cuenta de Gmail, de Facebook, secuestrar las cookies, los ficheros de tu equipo y todo el servicio al que esté conectado la victima. Además, afecta a todos los sistemas, como Windows, Linux, Mac, iOS o Android, explicó el especialista.

Cómo es que se puede infectar a un usuario mediar esta vulnerabilidad

Si alguien comparte una ubicación en la que un atacante puto un código malicioso, cuando el usuario pincha en ella se abre un pop up con los detalles de la ubicación compartida, que podría ser la de una empresa, un parque o un organismo gubernamental, que incluye fotos de ese punto, comentarios, etc. Por lo tanto, cada usuario que busque información sobre una empresa en la que el atacante haya introducido el código malicioso quedará infectado. De esta manera un actor con malas intenciones habilita una conexión inversa, lo que quiere decir que el equipo consiguió abre una puerta para que pueda entrar. Y una vez que está dentro el atacante puede atacar por otro lado para intentar persistir. Algo importante es que la vulnerabilidad permite comprometer el dispositivo de la víctima sin que sea necesario que el usuario descargue nada, pero ningún antivirus lo ha detectado, explicó Cuchietti.

El fallo ya fue reportado a Google en los tiempos correspondientes y Google está trabajando en un parche. Asimismo, el investigador recibió una recompensa por su descubrimiento.