¿Qué son estas URL sospechosas de Google GVT1.com?

Iniciado por AXCESS, Marzo 01, 2021, 04:28:34 PM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Ciertos dominios propiedad de Google han provocado que los usuarios de Chrome, desde los investigadores más capacitados hasta los usuarios habituales, se cuestionen si son maliciosos.
   
Los dominios a los que me refiero son los subdominios No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y gvt1 / gvt2 que han generado muchas preguntas en Internet.

Se ha investigado más profundamente el origen de los dominios y si deberían ser algo de qué preocuparse.

¿Qué son estos dominios No tienes permitido ver los links. Registrarse o Entrar a mi cuenta sospechosos?

Los dominios * .gvt1.com y * .gvt2.com, junto con sus subdominios, son propiedad de Google y, por lo general, se utilizan para entregar actualizaciones de software, extensiones y contenido relacionado de Chrome.

Por ejemplo, cuando se inicia Chrome, este intenta conectarse a los siguientes dominios:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Sin embargo, estas URL y el nombre de dominio han causado confusión en repetidas ocasiones entre desarrolladores e investigadores debido a su estructura de apariencia sospechosa:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Asimismo, los productos antivirus han señalado previamente los dominios gvt.1com como malware y los investigadores como un indicador de compromiso (IOC).

Además, los enlaces No tienes permitido ver los links. Registrarse o Entrar a mi cuenta redireccionan a una URL que contiene la dirección IP del usuario, entre otros parámetros esquivos que pueden generar más sospechas.

Por ejemplo, se rastreó el siguiente enlace, que redirige dos veces a un URL mucho más grande, con un subdominio arbitrario y parámetros GET extensos, como la dirección IP del usuario:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

¿Deberíamos preocuparnos por las URL de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta?

Aquí es donde se complica, pero la respuesta es: NO; pero Google podría asegurarlos mejor.

El GVT en el dominio No tienes permitido ver los links. Registrarse o Entrar a mi cuenta son las siglas de Google Video Transcoding y se utiliza como servidor de caché para el contenido y las descargas que utilizan los servicios y las aplicaciones de Google.

En pocas palabras, Google solo utiliza los dominios * .gvt1.com para entregar contenido oficial, actualizaciones del navegador Chrome y ejecutables relacionados con Android.

"redirector.gvt1.com es un servicio de redirección utilizado por Google para una variedad de propósitos, incluida la descarga de actualizaciones, etc.", declaró Eric Lawrence, un ex miembro del equipo de seguridad de Chrome, en una publicación de error de Google.

Volviendo al enlace analizado en la sección anterior como ejemplo, podemos ver que la URL que termina en .crx representa una extensión de Chrome:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se rastreó la extensión para ser la extensión Chrome Media Router, un componente heredado que fue utilizado por Chromecast.

Lo preocupante es que Google continúa utilizando el protocolo HTTP inseguro en lugar de HTTPS cuando se conecta a estas URL.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Al conectarse a las URL a través de HTTP, es posible utilizar ataques man-in-the-middle (MiTM) para modificar las descargas de alguna manera. Si tiene un malware instalado que está interceptando el tráfico HTTP, tiene más de qué preocuparse en este momento.

En conclusión, ver tráfico relacionado con dominios * .gvt1.com o * .gvt2.com en su red corporativa, no es motivo de alarma, sino simplemente una descarga legítima de Chromium.

Sin embargo, Google debería cambiar al uso de HTTPS para evitar posibles ataques MiTM, y los administradores deberían seguir siguiendo las mejores prácticas, como analizar el tráfico de las URL.

Se comunicó con Google varias veces con mucha anticipación, pero no se ha recibido respuesta al momento de publicar este artículo.

Fuente e Investigación realizada por
:
BleepingComputer

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Hola AXCESS,

ni siquiera sabía que existen esos dominios.

Gracias por la explicación, pero copy & paste también lo consigo yo mismo :D


Saludos
Este es el mayor reproche al pueblo hispanohablante:

Que a pesar de su inteligencia y a pesar de su valentía siempre adoran el poder.

CitarGracias por la explicación, pero copy & paste también lo consigo yo mismo :D

Interesante, pero ahora me pregunto si tan modesto eres, ¿por qué no lo buscaste por tu cuenta?

~ DtxdF
~ DtxdF

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
CitarGracias por la explicación, pero copy & paste también lo consigo yo mismo :D

Interesante, pero ahora me pregunto si tan modesto eres, ¿por qué no lo buscaste por tu cuenta?

~ DtxdF


Si fuera el que creo el post, marcaria tu respuesta DtxdF como la mejor.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
CitarGracias por la explicación, pero copy & paste también lo consigo yo mismo :D

Interesante, pero ahora me pregunto si tan modesto eres, ¿por qué no lo buscaste por tu cuenta?

~ DtxdF

Demasiado perezoso :D
Este es el mayor reproche al pueblo hispanohablante:

Que a pesar de su inteligencia y a pesar de su valentía siempre adoran el poder.

En realidad hay cierta razón en lo de "copiar y pegar".

A veces este tipo de información aparece en otras plataformas, e incluso en otro idioma.

La intensión, al menos la mía, no es la del plagio, pues si se nota siempre pongo la fuente.

Mi propósito es brindarle al visitante, o al usuario del Foro, la comodidad de encontrar, no solo lo novedoso o exclusivo, sino también compartir lo interesante del momento (según mi apreciación), en el mundo de la informática.

Esto suele en muchas ocasiones dar pie a la mala intención, o interpretación.

Me gusta ser positivo, y que si alguien, por motivos "X" no ha podido estar al tanto de noticias, lo que acontece,  o de técnicas disgregadas en sin fin de lugares, pues que tenga la comodidad de que ya estando en un mismo lugar, pueda disfrutar de lo manido noticioso, o lo exclusivo sorprendente que siempre no es tan dinámico como se deseara.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta