Acabo de terminar la evaluación sobre la nota publicada originalmente en Kriptópolis acerca del sistema G-ARCHIVER.

Se trata de G-Archiver (que ni siquiera enlazo), una aplicación shareware para Windows que se supone dedicada a realizar copias de seguridad de las cuentas de Gmail. El problema radica en que un programador ha sometido G-Archiver a Reflector (un descompilador para la plataforma .NET de Microsoft), con resultados espeluznantes.

Y es que, según afirma Dustin Brooks, en una de las DLLs del programa ha encontrado el nombre de usuario y la contraseña del presunto autor del programa, pero es que además parece que cada vez que un usuario utilizar G-Archiver para hacer una copia de su cuenta, el programa remitirí­a a esa misma cuenta los datos de login del usuario…

Dustin Brooks afirma haber podido loguearse en la cuenta incluida en el programa y encontrar en ella más de 1.700 mensajes conteniendo los datos de acceso a GMail de los incautos usuarios de G-Archiver, mensajes que -siempre según él- procedió a borrar y eliminar (algo que no afectará por supuesto a posibles copias que pudieran haberse realizado o reenviado).

Por cierto: la nota inicial de Menéame contení­a un error de bulto, al afirmar que G-Archiver era un programa de código abierto y que eso habí­a posibilitado encontrar la trampa. Afortunadamente alguien se ha percatado de que en realidad el código habí­a sido descompilado, y ya lo han corregido. Lo que resulta obvio es que nadie hubiera sido tan imbécil como para cometer semejante fechorí­a y encima mostrar el código. Aunque sólo fuera por eso, el cñodigo abierto (o libre) se confirma como un seguro excepcional para evitar este tipo de incidencias.

Referencia:

Coding Horror - A Question of Programming Ethics
http://www.codinghorror.com/blog/archives/001072.html

What happened with G-Archiver?
http://www.garchiver.com/what-happened.htm

Reflector for .NET
http://www.aisto.com/roeder/dotnet/

Filed under: Seguridad