Fabián Cuchietti, un investigador mendocino y especialista en pentesting, presentó en Ekoparty 2018 su charla titulada “Pwning Google Earth” los detalles de una reciente y novedosa vulnerabilidad que descubrió en Google Earth que permite a un atacante ingresar de manera remota en la computadora de un tercero y tener acceso a su información personal.

Cuchietti, quien tiene experiencia en el descubrimiento de vulnerabilidades de empresas reconocidas, como Microsoft, Mozzila, Facebook o Apple, entre otras, contó que comenzó con esta investigación hace siete meses. “Elegí buscar vulnerabilidades en Google Earth porque tenía cosas interesantes, y además porque es un producto utilizado por muchas empresas y organizaciones, como por ejemplo la NASA", explicó el experto. Es que esta herramienta de Google puede ser utilizada, por ejemplo, por una empresa petrolera para crear sus mapas o por deportistas que hacen trekking que usan la herramienta para crear rutas de senderismo.

Al ser consultado acerca de si la vulnerabilidad que encontró en Google Earth tiene el mismo efecto en Google Maps, el investigador explicó a WeLiveSecurity que trabajan con la misma API y los mismos servidores, y que antes de reportar la vulnerabilidad a Google era posible usar el mismo vector de infección en Google Maps.

Desarrollo de un exploit aprovechándose de los archivos KMZ

Lo que hizo Cuchietti fue desarrollar un exploit que se aprovecha de los archivos KMZ que utiliza Google Earth para empaquetar un conjunto de archivos y comprimir contenido para que sea fácil de descargar. De esta manera, demostró que un atacante puede establecer una conexión inversa entre su equipo y la víctima, que se infecta con solo abrir la ubicación, sin necesidad de descargar nada.

Lo importante del hallazgo está en que, a través de un producto de Google, un atacante puede hacer mucho daño con solo compartir una ubicación mediante enlace o coordenadas y así lograr robarte tu cuenta de Gmail, de Facebook, secuestrar las cookies, los ficheros de tu equipo y todo servicio al que esté conectado la víctima. Además, afecta a todos los sistemas, como Windows, Linux, Mac, iOS o Android, explicó el especialista.

Cómo es que se puede infectar un usuario mediante esta vulnerabilidad

Si alguien comparte una ubicación en la que un atacante puso un código malicioso, cuando el usuario pincha en ella se abre un pop up con los detalles de la ubicación compartida, que podría ser la de una empresa, un parque o un organismo gubernamental, que incluye fotos de ese punto, comentarios, etc. Por lo tanto, cada usuario que busque información sobre una empresa en la que el atacante haya ingresado el código malicioso se infectará. De esta manera un actor con malas intenciones habilita una conexión inversa, lo que quiere decir que el equipo infectado abre una puerta para que pueda entrar. Y una vez que está dentro el atacante puede atacar por otro lado para intentar persistir. Algo importante es que la vulnerabilidad permite comprometer el dispositivo de una víctima sin que sea necesario que el usuario descargue nada, por esto mismo ningún antivirus lo ha detectado, aclaró Cuchietti.

El fallo ya fue reportado a Google en los tiempos correspondientes y Google está trabajando en un parche. Asimismo, el investigador recibió una recompensa por su hallazgo.