Navegador Opera corrige fallo de seguridad que pudo comprometer tu información
Hace unos días una falla de seguridad, ahora corregida, ha afectado al navegador web Opera. Esta podría haber permitido que una extensión maliciosa obtuviera acceso completo y no autorizado a múltiples API privadas.
Este ataque podría haber permitido que realizaran acciones, tales como capturar pantallas, modificar la configuración del navegador ópera y secuestrar cuentas, según diversos especialistas en seguridad informática.
Para poder demostrar este problema, los expertos lograron publicar una extensión de navegador aparentemente inofensiva en la Chrome web Store, que después podría explotar la falla cuando se instala en Opera, convirtiéndola en un ejemplo de un ciberataque entre navegadores y tiendas de aplicaciones y extensiones.
Este caso de estudio no solo destaca el enfrentamiento constante entre la productividad y la seguridad. También, puede brindar una visión completa de las tácticas empleadas por los actores maliciosos modernos, los cuales operan justo debajo del radar.
El navegador Opera ha abordado el problema casi de inmediato, luego de una divulgación responsable del hecho. Además, no es la primera vez que se identifican fallas de seguridad en este navegador.
Un ejemplo de esto ocurrió a principios del mes de enero del año en curso, cuando surgieron los detalles de una vulnerabilidad, identificada como MyFlaw. Esta vulnerabilidad aprovecha una característica legítima, llamada My Flow, para poder ejecutar cualquier archivo en el sistema operativo.
Esta última técnica de ataque está basada en el hecho de que varios de los subdominios de acceso público, los cuales son propiedad de Opera, tienen acceso privilegiado a las API privadas. Estas API están integradas en el navegador.
Igualmente, los dominios se utilizan para admitir funciones específicas del navegador Opera, tales como Opera Wallet y Pinboard, entre otras. Así como también, las que se utilizan en el desarrollo interno.
Dominios de terceros, tales como crypto-corner.op-test.net, op-test.net, gxc.gg, opera.atlassian.net, pinboard.opera.com, instagram.com o yandex.com, se encontraron comprometidos con esta vulnerabilidad.
Si bien el sandboxing garantiza que el contexto del navegador permanezca aislado del resto del sistema operativo, la investigación realizada pudo descubrir que los scripts de contenido presentes dentro de una extensión del navegador podrían emplearse para inyectar código JavaScript malicioso en los dominios que otorgaran muchos permisos.
Con este nuevo acceso no autorizado, los cibercriminales podrían tomar capturas de pantalla de todas las pestañas abiertas y extraer cookies de sesión para secuestrar cuentas. Incluso, podrían modificar la configuración DNS-over-HTTPS o DoH, presente en un navegador. Esto para resolver dominios mediante un servidor DNS controlado por el atacante.
Estas acciones podrían preparar el terreno para ataques potentes de tipo adversario en el medio o AitM, cuando las víctimas intenten buscar instituciones bancarias o redes sociales, en donde van a ser redirigidas a sus contrapartes maliciosas.
La extensión maliciosa, por otro lado, puede publicarse como algo inocuo en cualquiera de los catálogos de complementos y extensiones, en donde se incluye la propia Google Chrome Web Store. Si se aloja allí, los usuarios pueden descargarla y agregarla a sus propios navegadores, desencadenando el ciberataque.
No obstante, se requiere permisos para ejecutar código JavaScript en cualquier sitio web, en particular, los dominios que tienen acceso a las API privadas.
