Cuidado con el Gadget de Google Talk

Para aquellos que uséis el Gadget de Google Talk, pues en muchos sitios (empresas) no está capado como sí ocurre con el que viene embebido en la interfaz de Gmail, que sepáis que, aunque la autenticación no va en claro, sí lo van las conversaciones.

Para muestra, un botón:

0570  0a 0b 5c 6b 54 7d 28 4c  23 a1 6c 87 43 19 31 2a   ..[[“m”, “USU.
0580  78 61 22 75 52 30 67 6d  61 69 6c 2e 63 6f 6d 22   ARIO@gm ail.com
0590  2c 22 65 73 63 72 69 62  65 20 74 5c 75 30 30 63   ,”escrib e tu00c
05a0  33 5c 75 30 30 62 61 20  61 6c 67 6f 22 2c 22 31   3u00ba  algo“,”1
05b0  35 22 2c 22 63 22 5d 5d                                     5″,”c”]]

Lo que véis arriba es una captura (tcpdump -w prueba.cap -s 0 -ni eth0) donde podemos ver cómo la frase de “escribe tú algo” se lee sin problemas, además, se sabe a quién le hemos escrito, que en este caso es USUARIO@gmail.com.

El cliente basado en flash de GoogleTalk, no emplea TLS como sí lo haría un cliente cualquiera de Jabber que queramos configurar, sino que todo lo envía por el puerto 80 sin ningún tipo de cifrado.

Advertisements

2 thoughts on “Cuidado con el Gadget de Google Talk

  1. Interesante… yo hubiera supuesto que iría cifrado mediante TLS. Siempre es mejor volver al “viejo” cliente de IM Jabber (hay mil), que no sólo cifran usando TLSs, sino que muchos, además, permiten el cifrado mediante GPG…

    Like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s