Samy Kamkar posiblemente sea un nombre que te suene, ya que el mismo tiene en su expediente la creación del gusano XSS con el cual se hizo de un millón de amigos en 24 horas en MySpace, explotando una vulnerabilidad.
Pues bien esta vez en una sesión denominada «como conocí a tu novia», el mismo Kamar puso en evidencia nuevas formas de atacar en la web. Esta vez utilizando el XSS y los datos de nuestro querido amigo G-street-View.
El expermiento consistió en pillar una victima y llevarla al sitio web de anzuelo, una vez ahí y utilizando un Javascript y AJAX se hizo con la dirección MAC del router, y a partir de ahí haciendo uso de los datos de GSV pudo determinar la ubicación física de su victima con un error de 30 pies solamente.
Impresionante si, porque en manos de un delincuente esta información puede ser utilizada para realizar robos, todo gracias a la genial tarea de GSV cuando rastreo direcciones MAC de los router sin autorización.
En el siguiente vídeo tienen la demostración (dura 11 minutos pero merece la pena ver):
[Fuente securityweek]