¿Qué son estas URL sospechosas de Google GVT1.com?

  • 0 Respuestas
  • 376 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado AXCESS

  • *
  • Moderador Global
  • Mensajes: 1151
  • Actividad:
    100%
  • Country: 00
  • Reputación 21
    • Ver Perfil
    • Email


Ciertos dominios propiedad de Google han provocado que los usuarios de Chrome, desde los investigadores más capacitados hasta los usuarios habituales, se cuestionen si son maliciosos.
   
Los dominios a los que me refiero son los subdominios redirector.gvt1.com y gvt1 / gvt2 que han generado muchas preguntas en Internet.

Se ha investigado más profundamente el origen de los dominios y si deberían ser algo de qué preocuparse.

¿Qué son estos dominios gvt1.com sospechosos?

Los dominios * .gvt1.com y * .gvt2.com, junto con sus subdominios, son propiedad de Google y, por lo general, se utilizan para entregar actualizaciones de software, extensiones y contenido relacionado de Chrome.

Por ejemplo, cuando se inicia Chrome, este intenta conectarse a los siguientes dominios:



Sin embargo, estas URL y el nombre de dominio han causado confusión en repetidas ocasiones entre desarrolladores e investigadores debido a su estructura de apariencia sospechosa:





Asimismo, los productos antivirus han señalado previamente los dominios gvt.1com como malware y los investigadores como un indicador de compromiso (IOC).

Además, los enlaces redirector.gvt1.com redireccionan a una URL que contiene la dirección IP del usuario, entre otros parámetros esquivos que pueden generar más sospechas.

Por ejemplo, se rastreó el siguiente enlace, que redirige dos veces a un URL mucho más grande, con un subdominio arbitrario y parámetros GET extensos, como la dirección IP del usuario:





¿Deberíamos preocuparnos por las URL de gvt1.com?

Aquí es donde se complica, pero la respuesta es: NO; pero Google podría asegurarlos mejor.

El GVT en el dominio gvt1.com son las siglas de Google Video Transcoding y se utiliza como servidor de caché para el contenido y las descargas que utilizan los servicios y las aplicaciones de Google.

En pocas palabras, Google solo utiliza los dominios * .gvt1.com para entregar contenido oficial, actualizaciones del navegador Chrome y ejecutables relacionados con Android.

"redirector.gvt1.com es un servicio de redirección utilizado por Google para una variedad de propósitos, incluida la descarga de actualizaciones, etc.", declaró Eric Lawrence, un ex miembro del equipo de seguridad de Chrome, en una publicación de error de Google.

Volviendo al enlace analizado en la sección anterior como ejemplo, podemos ver que la URL que termina en .crx representa una extensión de Chrome:



Se rastreó la extensión para ser la extensión Chrome Media Router, un componente heredado que fue utilizado por Chromecast.

Lo preocupante es que Google continúa utilizando el protocolo HTTP inseguro en lugar de HTTPS cuando se conecta a estas URL.



Al conectarse a las URL a través de HTTP, es posible utilizar ataques man-in-the-middle (MiTM) para modificar las descargas de alguna manera. Si tiene un malware instalado que está interceptando el tráfico HTTP, tiene más de qué preocuparse en este momento.

En conclusión, ver tráfico relacionado con dominios * .gvt1.com o * .gvt2.com en su red corporativa, no es motivo de alarma, sino simplemente una descarga legítima de Chromium.

Sin embargo, Google debería cambiar al uso de HTTPS para evitar posibles ataques MiTM, y los administradores deberían seguir siguiendo las mejores prácticas, como analizar el tráfico de las URL.

Se comunicó con Google varias veces con mucha anticipación, pero no se ha recibido respuesta al momento de publicar este artículo.

Fuente e Investigación realizada por
:
BleepingComputer

https://www.bleepingcomputer.com/news/security/what-are-these-suspicious-google-gvt1com-urls/