¿Has visto últimamente muchos vídeos en inglés en YouTube?
Si es así, apostamos a que has visto algún anuncio de Grammarly, el corrector online de gramática y ortografía.
Los anuncios parecen que están funcionando, ya que hay casi 1.000.000 de instalaciones en Firefox, y más de 10.000.000 en Chrome.
Grammarly permite corregir tus faltas en inglés y almacenar tus documentos online para revisarlo y comprobar que no exista ningún error, de esta manera acaba teniendo mucha información tuya, incluyendo copias de lo que has escrito.
Por lo que un agujero de seguridad en Grammarly permitiría a los ciberdelincuentes saber mucho más de ti de lo que tú quisieras.
Así que cuando el prodigioso buscador de bug de Google, Tavis Ormandy, se fijó en la extensión de Grammarly para Chrome, se sorprendió al encontrar que esta aplicación expone los tokens de autenticación a todas las webs, por lo que cualquiera de ellas puede acceder a tu cuenta.
Un token de autenticación, es una cadena criptográfica de un solo uso que la crea el servidor como una cookie de navegador después de que has conseguido autentificarte en una web.
El navegador envía esa cookie de vuelta a la web cada vez que regresas, indicándole al servidor quien eres.
Sin este tipo de procedimiento, tendrías que introducir tu nombre de usuario y contraseña para cada petición que hicieras a una web.
Lo que se supone que ocurre es lo siguiente:
- La conexión entre tu navegador y el servidor es a través de HTTPS para mantener el token de autenticación secreto. Esto impide que alguien que este espiando en el tráfico de red pueda robar el token.
- Tu navegador sigue las políticas del mismo origen, es decir las cookies recibidas de la web X solo las puede ver la web X. Esto impide que otras webs accedan a nuestros token de autenticación secretos y los roben.
Si tu token de autenticación se filtra a otra persona, esta puede hacerse pasar por ti añadiéndolo a su propia lista.
El bug de Grammarly
Desafortunadamente la extensión de Grammarly no sigue las políticas del mismo origen, por lo que tu token de autenticación puede ser enviado a terceros.
Obviamente, esto es un grave problema de seguridad del que Ormandy informó a Grammarly el pasado viernes, pero sin hacerlo público hasta que pasase un plazo de 90 días para que la empresa tuviera el tiempo necesario para solucionarlo.
Afortunadamente Grammarly se tomó en serio el problema publicando una actualización tanto para Chrome como para Firefox durante el fin de semana, razón por la cual ahora publicamos la noticia.
Si eres un usuario de Grammarlly asegúrate de tener la última versión si no quieres que cualquiera pueda acceder a tu cuenta.
Incluso los peores bugs, cuando se solucionan con rapidez y responsabilidad, se pueden convertir en buenas noticias.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario