Bug de Google Chrome concede acceso a la información privada de Facebook


El método podría usarse para deducir la edad, el sexo, los "me gusta" o el historial de ubicación de un usuario; esencialmente, el atacante puede jugar "20 preguntas" para perfilar a la víctima.

Se descubrió una falla del navegador en Google Chrome que permite a los malos actores descubrir datos privados almacenados en Facebook, sitios de Google y otras plataformas, mediante el uso de etiquetas HTML de video y audio, y las funciones de filtrado en los sitios web.


El error en cuestión existe en el motor Blink, que se usa para encender Chrome. La vulnerabilidad permite a los atacantes inyectar los navegadores de visitantes desprevenidos a un sitio malicioso con etiquetas ocultas especializadas de video o audio.


De acuerdo con Imperva, que identificó e informó la falla, estas etiquetas HTML A / V pueden usarse como parte de una secuencia de comandos que genera solicitudes a un recurso objetivo dentro de una aplicación web que también está abierta en el escritorio de la víctima, como Facebook. A su vez, las respuestas a esas solicitudes se pueden usar para inferir datos sobre el usuario infectado."En esencia, el error permite a los atacantes estimar el tamaño de una página de origen cruzado usando las etiquetas de video o de audio", explicó Ron Masas, investigador de seguridad de Imperva, en una entrevista.


Al desglosar el flujo de ataque, el malhechor podría hacer que el guión envíe solicitudes a una página de Facebook que tiene una serie de restricciones de audiencia, por ejemplo, solo personas del estado de Texas pueden verla. El atacante puede evaluar si la víctima es de Texas en función de si él o ella tendría acceso a la página. Este mismo método podría usarse para deducir la edad, el sexo, los "me gusta" o el historial de ubicación de un usuario; esencialmente, el atacante puede jugar "20 preguntas" para perfilar a la víctima.


"El atacante puede comenzar a 'hacer preguntas a Facebook' si o no, enviando solicitudes a publicaciones específicas de Facebook y estimando su tamaño (pequeña respuesta = falsa, gran respuesta = verdadera)", explicó Masas. "Logré encontrar maneras creativas de hacer que Facebook reflejara todo tipo de información usando las restricciones de audiencia de un post y los puntos finales de búsqueda de gráficos de Facebook".


Agregó que "los atacantes podrían establecer la edad o el género exactos de una persona, ya que se guarda en Facebook, independientemente de su configuración de privacidad".


Masas dijo que estaba investigando el mecanismo Cross-Origin Resource Sharing (CORS) mediante la verificación de las comunicaciones de origen cruzado de diferentes etiquetas HTML. Con las etiquetas de video y audio, "parece que establecer el atributo 'precarga' en 'metadatos' cambió la cantidad de veces que se llamaba el evento 'en progreso' de una manera que parecía estar relacionada con el tamaño del recurso solicitado", dijo. en una publicación sobre la falla publicada el miércoles. "Para verificar mi hipótesis, creé un servidor HTTP NodeJS simple que genera una respuesta en el tamaño de un parámetro dado. Luego utilicé este punto final del servidor como el recurso para el JavaScript ".

La secuencia de comandos crea un elemento de audio oculto que solicita un recurso determinado, rastrea la cantidad de veces que se desencadenó el evento `onprogress` y devuelve el valor del contador una vez que el análisis de audio falla.

Los datos se extrajeron de acuerdo con la información del canal lateral, dijo Masas a Threatpost.


"Se comprobó que los eventos de progreso despedidos de las etiquetas de video / audio están vinculados al tamaño del recurso solicitado, el tamaño de la página también puede tratarse como información de canal lateral, lo que nos permite deducir información privada sobre el usuario", explicó.


El ataque puede parecer trabajoso, pero con varios scripts ejecutándose a la vez, cada uno probando una restricción diferente y única, el actor malo puede "extraer de manera relativamente rápida una buena cantidad de datos privados sobre el usuario", dijo Masas. Y dado que el ataque se realiza en cada uno de los navegadores de la víctima, escalarlo solo es cuestión de conseguir que más personas visiten el sitio malicioso que ejecuta el script de inyección.


Más allá de la privacidad de los medios sociales, hay preocupaciones más serias. Si el script de ataque se ejecuta mientras la víctima tiene un sitio abierto que requiere registro de correo electrónico, un sitio de comercio electrónico o aplicaciones en la nube, por ejemplo, un atacante podría correlacionar los datos privados levantados de las redes sociales con una dirección de correo electrónico de acceso, incluso perfiles más extensos e intrusivos.


"Creo que el mayor peligro con este tipo de ataque es el enriquecimiento de datos (conectando información como edad, género, me gusta de Facebook, etc. a usuarios existentes)", dijo Masas.


Para que un exploit funcione, el usuario objetivo debería tener el sitio web malicioso del actor de la amenaza con los scripts abiertos en el navegador; y, él o ella necesitarían al mismo tiempo abrir Facebook u otras aplicaciones web que el script pueda consultar.


La falla afecta a Chrome 67 y versiones anteriores del navegador: Google lo parchó en Chrome 68, lanzado en julio, por lo que los usuarios deberían actualizar, si es que aún no lo han hecho.



Publicar un comentario

0 Comentarios