Google Maps, archivos KML y un bug resuelto… dos veces

Deben quedar pocas personas sobre la faz de la tierra que no hayan empleado nunca Google Maps. Ya sea para averiguar cómo llegar a cualquier sitio, para encontrar un determinado tipo de comercios en una zona determinada, para reproducir visualmente una ruta que debemos seguir o, simplemente, para dar un paseo virtual por las calles de prácticamente cualquier lugar del mundo, hablamos de un servicio muy, muy popular y cuya fama y reconocimiento son, en mi opinión, muy merecidos.

Dicho éxito, claro, ocasiona que Google Maps esté en el punto de mira de bastantes expertos de seguridad, que no dudan en revisar concienzudamente el funcionamiento de todos sus elementos, a la busca de algún problema de seguridad. Y hay que darles las gracias por ello, ya que de esta manera se detectan agujeros que, de otro modo, podrían ser encontrados por personas con peores intenciones, y que por supuesto no dudarían en usarlos para llevar a cabo todo tipo de ataques.

Las tecnológicas, en muchos casos, gratifican dichos actos tanto económicamente, con una recompensa, como con el reconocimiento público a la persona que la ha encontrado. Y esto es lo que ha ocurrido con Google Maps y Zohar Shachar, responsable de seguridad de Wix y que ya tiene un interesante historial en detección de problemas de seguridad en los productos de Google. El último caso conocido, y que vamos a ver ahora, tiene que ver con los mapas de Google y los archivos KML.

Por si no conoces ese formato de archivo, KML es un lenguaje de marcado basado en XML y que se emplea para la representación de elementos geográficos tridimensionales. Su uso está muy extendido tanto entre profesionales como entre particulares, y una de las funciones de Google Maps es permitir que sus usuarios puedan compartir sus «mapas» (en realidad los elementos de los ficheros KML se muestran en una capa superpuesta a los propios mapas). Y analizando dicha función, Shachar encontró un problema.

Según ha explicado el experto en su blog, al analizar las funciones de personalización de los mapas, encontró que podía emplear una etiqueta CDATA (metadatos) en la que se incluía el nombre del mapa, para introducir código malicioso. Y como estamos hablando de un campo de metadatos, hablamos de elementos que no son renderizados por el navegador, por lo que pueden pasar totalmente desapercibidos para el usuario. Y una vez introducido el código malicioso, ya solo hace falta configurar el mapa como público, exportarlo como KML y compartir el enlace del mismo con las potenciales víctimas.

Detectado este problema, Shachar contactó con Google informando del problema. En su respuesta, unos días después, la empresa le informó de que habían verificado el problema, que lo habían solucionado y que, como recompensa, había obtenido 5.000 dólares. Así mismo, lo invitaban a revisar si las función para compartir mapas de Google Maps ya era segura, es decir, si los cambios que habían efectuado permitían dar por zanjado el problema.

La mala noticia es que no, solo fueron necesarios 10 minutos para revisar la función, comprobar que el cambio que habían hecho aún permitía emplear la exportación de mapas con código malicioso y escribir de vuelta a Google, informado. En este caso la respuesta tardó algo más en llegar, once días, pero en esta ocasión el problema sí que quedó resuelto y, como recompensa por su trabajo, la compañía decidió abonar otros 5.000 euros al experto. Todo esto ocurrió entre el 23 de abril y el 18 de junio de 2019, por lo que la exportación de KML en Google Maps es segura desde hace algo más de un año, así que puedes emplearlo sin preocupaciones.

La entrada Google Maps, archivos KML y un bug resuelto… dos veces es original de MuySeguridad. Seguridad informática.