El pasado Sábado Omicrono lanzó un artículo que me llamó la atención, se titulaba: Google Maps para encontrar direcciones… y música gratis: el ingenio de los piratas.
En el artículo contaban como los piratas estaban colgando links a música a través de Google Maps, es una técnica muy imaginativa aunque no se cuan popular, personalmente no se me habría ocurrido nunca buscar en Google Maps un álbum de música, pero en la imagen se puede ver un buen ejemplo e incluso las visitas que tuvieron, así que no debe ser algo desconocido.
 |
| Ejemplo del artículo de Omicrono |
A partir de aquí se me ocurrió valorar ¿qué dificultad tiene crear o modificar una ubicación?
Esta duda me surgió porque existen muchas empresas que contienen Google Maps en sus aplicaciones, confiando en el contenido que éste brinda. Aplicaciones corporativas que confían sus puntos de interés en conectar de forma directa con la API de Google Maps.
Por lo que surge la pregunta ¿Y si meto un supuesto banco o cajero falso? La llegada al formulario y completar el mismo es totalmente accesible y muy sencilla así que decidí hacer la prueba mandando un formulario como este:
Después probé con otras categorías como Cajero automático e incluso tuve la tentación de solicitar cambios sobre los existentes pero, creo que están reclamados por las empresas y podría ser más complicado.
¿Qué pasaría si el ejemplo de arriba fuera aceptado? Pues que en esa dirección se crearía un Cajero con una url que apuntara a malware.
La confianza de los consumidores en las herramientas de Google y, sobretodo, en Google Maps (¿quien no viaja de la mano de Google Maps?) es muy alta, por lo que el alcance de dicha URL podría ser igual de alta.
Si Google acepta incluir esos puntos falsos podríamos lanzar campañas de phishing por sectores físicos, agregando cajeros de todo tipo de sucursales con URLs con contenido infectado (malware o web falsa, por ejemplo).
Sigo esperando saber si Google acepta o rechaza mis inclusiones de sitios ¿Que creeis que pasara? Se aceptan apuestas :)
No hay comentarios:
Publicar un comentario