¿Cuáles son estas URL sospechosas de Google GVT1.com?
Algunos dominios propiedad de Google han llevado a los usuarios de Chrome, desde investigadores experimentados hasta usuarios habituales, a preguntarse si son maliciosos.
Los dominios a los que me refiero son redirector.gvt1.com es gvt1 / gvt2 subdominios que han generado muchas preguntas en Internet.
Después de recibir muchas preguntas preocupantes a lo largo de los años, BleepingComputer ha profundizado en el origen de los dominios y si deberían ser algo de qué preocuparse.
¿Cuáles son estos sospechosos? gvt1.com dominios?
Los dominios * .gvt1.com y * .gvt2.com, junto con sus subdominios, son propiedad de Google y se utilizan normalmente para proporcionar actualizaciones de software, extensiones y contenido relacionado de Chrome.
Por ejemplo, cuando iniciamos Chrome hace un momento, intentó conectarse a los siguientes dominios:
http://redirector.gvt1.com/
http://r5---sn-8xgp1vo-ab5z.gvt1.com/Sin embargo, estas URL y el nombre de dominio han causado confusión en repetidas ocasiones entre desarrolladores e investigadores debido a su estructura de aspecto sospechoso:
Igualmente, gvt.1com Los dominios fueron previamente marcados por productos antivirus como malware. [1, 2] y por investigadores como indicador de compromiso (CIO) [1, 2, 3].
Además, el redirector.gvt1.com conexiones Redirigir a una URL que contiene la dirección IP del usuario, entre otros parámetros esquivos que pueden generar más sospechas.
Por ejemplo, BleepingComputer rastreado el siguiente enlace, que redirige dos veces a URL mucho más grandes con un subdominio arbitrario y parámetros GET extendidos, como la dirección IP del usuario:
http://redirector.gvt1.com/edgedl/chromewebstore/L2Nocm9tZV9leHRlbnNpb24vYmxvYnMvNmRlQUFXU0o1UkNFTWx3aGRUUHBsWUJUZw/7819.902.0.1_pmbkedcjkbdefmdelp
Fuente: BleepingComputer
Deberíamos estar preocupados por gvt1.com URL?
Aquí es donde se pone complicado, pero la respuesta es: no, pero Google podría protegerlos mejor.
El GVT en el dominio gvt1.com son las siglas de Google Video Transcoding y se utiliza como servidor de caché para el contenido y las descargas que utilizan los servicios y aplicaciones de Google.
En pocas palabras, el * .gvt1.com los dominios están solos Usado de Google para proporcionar contenido oficial, actualizaciones del navegador Chrome y Archivos ejecutables relacionados con Android.
"redirector.gvt1.com es un servicio de redireccionamiento utilizado por Google para varios propósitos, incluida la descarga de actualizaciones, etc.", Eric Lawrence, ex miembro del equipo de seguridad de Chrome, declarado en una publicación de error de Google.
Volviendo al enlace analizado en el apartado anterior como ejemplo, podemos ver que la URL termina en .crx representa una extensión de Chrome:
http://redirector.gvt1.com/edgedl/chromewebstore/L2Nocm9tZV9leHRlbnNpb24vYmxvYnMvNmRlQUFXU0o1UkNFTWx3aGRUUHBsWUJUZw/7819.902.0.1_pkedcjkdefgpdelpbcmbmeomcjbeemfm.crx
BleepingComputer encontró la extensión como un archivo Enrutador multimedia Chrome extensión, un componente heredado utilizado por Chromecast.
Lo preocupante es que Google sigue utilizando el protocolo HTTP inseguro en lugar de HTTPS cuando se conecta a estas URL.
Al conectarse a las URL a través de HTTP, es posible utilizar ataques man-in-the-middle (MiTM) para modificar las descargas de alguna manera. Si ha instalado malware que intercepta el tráfico HTTP, debe preocuparse más en este momento.
En conclusión, cuando vea el tráfico relativo * .gvt1.com o * .gvt2.com dominios en la red corporativa, esto no es motivo de alarma, sino simplemente una descarga legítima de Chromium en curso.
Sin embargo, Google debería cambiar al uso de HTTPS para evitar posibles ataques MiTM, y los administradores deberían seguir siguiendo las mejores prácticas, como analizar el tráfico de las URL.
BleepingComputer se ha puesto en contacto con Google varias veces con mucha antelación, pero no hemos recibido una respuesta antes del cierre de esta edición.
Deja una respuesta