Un fallo en casi todos los navegadores facilita los ataques a través de las extensiones

Escrito por Roberto Adeva
Navegadores

Con motivo del Symposium de seguridad celebrado recientemente en Canadá, un grupo de investigadores ha descubierto un importante fallo en todos los navegadores modernos que los atacantes podrían explotar para conseguir saber todas las extensiones que tenemos instaladas en el navegador web. Recordemos que la mayoría de navegadores de hoy en día, cuenta con soporte para extensiones, ya que de esta manera podemos añadir funcionalidades extras a nuestro navegador de manera rápida y sencilla.

El fallo afecta a la mayoría de navegadores modernos, todos los basados en Cromium como el propio Google Chrome, Yandex y Òpera, los basados en Firefox como el propio navegador de Mozilla o Pale Moon e incluso Microsoft Edge.

El fallo permite a los sitios web conocer las extensiones instaladas en el navegador y así poder realizar ataques específicos

Aunque todos ellos proteger de  una manera u otra que los sitios web puedan conocer las extensiones instaladas en el navegador, los investigadores de seguridad han demostrado que sin embargo, los sitios web pueden utilizar diversas técnicas para conseguir saber los complementos o extensiones instaladas en el navegador mediante el cual estamos accediendo a ellos.

ataques extensiones navegadores

Cuando se comenzaron a usar por primera vez las extensiones, tanto Google Chrome como Mozilla añadieron controles para bloquear el acceso a los sitios web visitados a las extensiones, algo que todavía a día de hoy es gestionado por la configuración de control de acceso donde se asegura que los datos almacenados en los complementos se utilizan de forma privada. Este sistema también lo adoptaba Microsoft Edge que el inicio del soporte para extensiones, mientras que el navegador web Safari utiliza un mecanismo de protección diferente, ya que va cambiando de forma aleatoria el URI de los recursos.

Los investigadores de seguridad descubrieron una forma en que los sitios web podían conocer los complementos instalados en el navegador mediante un ataque a pesar de que cada vez que un sitio solicita al navegador acceso a un recurso de una extensión, éste tiene que ejecutar dos comprobaciones previas antes de permitirle el acceso. Por un lado, comprueba si existe la extensión, es decir, está instalada en el navegador, y por otro, comprueba si el recurso al que el sitio quiere acceder está disponible públicamente.

Mediante el control de la respuesta, los atacantes pueden identificar la razón por la que reciben la negación de acceso al recurso y medir el tiempo que tarda en recibir una respuesta para la solicitud de una extensión falsa con recursos falsos y el tiempo de respuesta con una solicitud real y un recurso real. De esta forma y con algo de código los investigadores basaron su ataque para conseguir los ID de las extensiones instaladas y a partir de ahí conseguir acceder a los recursos de los complementos para realizar ataques específicos dirigidos a cada una de las extensiones e incluso acceder a información confidencial almacenada en ellas.

Fuente > ghacks

Compártelo. ¡Gracias!
Continúa leyendo
  • ADSLZonero

    Existe una extensión (para Firefox) llamada “No Resource URI Leak”. Y precisamente evita eso, llevo mucho usándola y al parecer ha tenido sentido.