El problema, descubierto por Oren Hafif, ya ha sido corregido por Google
y consiste en una inteligente y elaborada combinación de técnicas (XSS,
CSRF, phishing dirigido). Oren describe extensamente en su blog su investigación, la forma de llevar a cabo un ataque exitoso y ha realizado un vídeo de cómo funciona el proceso.
El proceso incluye un "spear-phishing” o phishing dirigido con un
objetivo concreto, procedente de Google, pero el enlace lleva a un
sitio controlado por el atacante. Pero de tal forma que el usuario ni
siquiera se de cuenta, ya que el sitio realmente realiza una petición en
sitios cruzados ("cross-site request fogery" o CSRF), con el
lanzamiento de un cross-site scripting (XSS) que engaña a Google para
que crea que el usuario está solicitando el reestablecimiento de su
contraseña. Como si realmente tuviera problemas para acceder al
servicio.
Tras ello el usuario va a un sitio https de Google.com auténtico. Lo cual hace creer al usuario que todo es correcto.
Tras lo cual la contraseña pasará a estar en poder del atacante.
Oren señala y destaca la rapidez de respuesta del equipo de seguridad de
Google, que en tan solo 10 días tras su reporte ya había corregido el
problema.