Clicky

Bug de Chrome permite a los hackers descubrir todo lo que Facebook sabe de ti

Bug Chrome y Facebook

Se recomienda encarecidamente a los usuarios de Chrome que actualicen a la última versión

Con el lanzamiento de Chrome 68, Google marca en su navegador de forma destacada como 'No seguro' todos los sitios web que no son HTTPS para hacer que la web sea un lugar más seguro para los usuarios de Internet.

Si aún no lo has hecho, hay otra importante razón para cambiar de inmediato a la última versión del navegador web Chrome.

Ron Masas, un investigador de seguridad de Imperva, descubrió una vulnerabilidad en los navegadores web que podría permitir a los atacantes encontrar todo lo que otras plataformas web, como Facebook y Google, saben de ti, y todo lo que necesitan es engañarte para que visites un sitio web.

La vulnerabilidad, identificada como CVE-2018-6177, aprovecha una debilidad en las etiquetas HTML de audio/vídeo y afecta a todos los navegadores web impulsados por "Blink Engine", incluido Google Chrome.

Para ilustrar el escenario de ataque, el investigador tomó un ejemplo de Facebook, una popular plataforma de redes sociales que recopila información exhaustiva de perfiles sobre sus usuarios, incluida su edad, género, dónde ha estado (datos de ubicación) e intereses, es decir, qué le gusta y qué no.

Debes tener en cuenta que Facebook ofrece una función de orientación de publicación para los administradores de la página, lo que les permite definir una audiencia restringida o específica para publicaciones específicas según su edad, ubicación, sexo e interés.

¿Cómo funciona el ataque del navegador?

filtro de audiencia en Facebook

Para demostrar la vulnerabilidad, el investigador creó múltiples publicaciones en Facebook con diferentes combinaciones de audiencias restringidas para categorizar a las víctimas según su edad, ubicación, interés o género.

Ahora, si un sitio web incorpora todas estas publicaciones de Facebook en una página web, cargará y mostrará solo algunas publicaciones específicas al final de los visitantes, basadas en los datos de perfil de los usuarios en Facebook que coinciden con la configuración de audiencia restringida.

Por ejemplo, si una publicación -definida para ser visible solo para los usuarios de Facebook con 26 años de edad, hombre, con interés en hackear o Seguridad de la información- se cargó con éxito, un atacante puede potencialmente obtener información personal de los visitantes, independientemente de su configuración de privacidad.

Aunque la idea suena emocionante y bastante simple, no hay formas directas disponibles para que los administradores del sitio determinen si una publicación incrustada se cargó con éxito para un visitante específico o no.

elementos de audio/vídeo

Gracias a Cross-Origin Resource Sharing (CORS): un mecanismo de seguridad del navegador que evita que un sitio web lea el contenido de otros sitios sin su permiso explícito.

Sin embargo, el investigador de Imperva descubrió que, dado que las etiquetas HTML de audio y vídeo no validan el tipo de contenido de los recursos obtenidos o rechazan las respuestas con tipos MIME inválidos, un atacante puede usar múltiples etiquetas ocultas de vídeo o audio en un sitio web para solicitar publicaciones en Facebook.

Aunque este método no muestra las publicaciones de Facebook como está previsto, sí permite que el sitio web controlado por el atacante mida (usando JavaScript) el tamaño de los recursos de origen cruzado y el número de solicitudes para averiguar qué publicaciones específicas de Facebook se obtuvieron con éxito para un visitante individual.

Aunque este método no muestra las publicaciones de Facebook como está previsto, sí permite que el sitio web controlado por el atacante mida (usando JavaScript) el tamaño de los recursos de origen cruzado y el número de solicitudes para averiguar qué publicaciones específicas se obtuvieron con éxito de Facebook para una visitante individual.

"Descubrí que al diseñar sitios para devolver un tamaño de respuesta diferente en función de las propiedades del usuario actualmente registradas, es posible utilizar este método para extraer valiosa información".

Un miembro del equipo de seguridad de Google también señaló que la vulnerabilidad también podría funcionar contra sitios web que usan la API para obtener información específica de la sesión del usuario.

El núcleo de esta vulnerabilidad tiene algunas similitudes con otro error del navegador, parcheado en junio de este año, que aprovechó una debilidad en cómo manejan los navegadores web las solicitudes de origen cruzado a archivos de vídeo y audio, permitiendo a los atacantes leer el contenido de mensajes privados de Gmail o Facebook.

El investigador de Imperva informó a Google sobre la vulnerabilidad con un exploit de prueba de concepto, y el equipo de Chrome parcheó el problema en la versión de Chrome 68.

Por lo tanto, se recomienda encarecidamente a los usuarios de Chrome que actualicen su navegador a la última versión, si es que aún no lo han hecho.

Jesus_Caceres