Productos y Servicios PRODUCTOS Y SERVICIOS

Webs fraudulentas pueden convertir extensiones vulnerables del navegador en puertas traseras

¿Cuándo fue la última vez que comprobaste los permisos que diste a las extensiones del navegador?

Se trata de un punto ciego, es posible que sepamos que los permisos que otorgamos a las apps pueden ser peligrosos, pero cuando se refiere a las extensiones de navegadores como Chrome o Firefox, existe una tendencia a preocuparnos solo si alguien descubre que una extensión maliciosa está haciendo algo que no debe.

Pero no son solo las extensiones maliciosas las que pueden dar problemas, como alerta un reciente estudio del investigador de la Université Côte d’Azur, Dolière Francis Somé, que analiza las API.

Las extensiones pueden hacer cosas que las web no pueden. Las páginas webs están protegidas y restringidas por las políticas SOP (Same Origin Policy), que impide a las webs en diferentes dominios compartir datos.

Somé estaba interesado en si una extensión maliciosa podía saltarse esas protecciones SOP, obteniendo acceso a datos del usuario que deberían estar bloqueados como credenciales, historial de navegación o la posibilidad de descargar ficheros almacenados.

Después de analizar 78.315 extensiones de Chrome, Firefox y Opera que utilizaban la API WebExtension, empleando un sistema de análisis estático y revisión manual, encontró que si se podían saltar en 197 casos.

171 de los 197 casos eran extensiones de Chrome, lo que refleja el gran número de extensiones existentes para ese navegador y no que la seguridad sea mejor en Firefox y Opera, con 16 y 10 extensiones respectivamente.

¿Debemos estar preocupados?

Dado el número tan pequeño de extensiones descubiertas, a primera vista quizás no. Más de la mitad de las extensiones maliciosas tienen menos de 1.000 instalaciones cada una, y solo un 15% pasan de 10.000 instalaciones cada una.

Ahora bien muchas de esas extensiones realizaban acciones difícilmente justificables como 63 saltarse SOP, 19 ejecutar código y 33 casos en Chrome podían incluso instalar otras extensiones.

Somé dice que avisó a los fabricantes de los navegadores para que testearan las extensiones. Mozilla eliminó todas las citadas, Opera eliminó todas las segundas barras y Google aún está decidiendo si eliminar o arreglar las de Chrome (la lista completa de extensiones se puede consultar aquí).

¿Soluciones?

La respuesta más sencilla es evitar que las extensiones se comuniquen con las webs como quieran, aunque esto también puede bloquear acciones legítimas.

Por otro lado, los fabricantes de navegadores deberían comprobar su funcionamiento, además las propias extensiones deberían indicar también con que webs planean interaccionar.

Otros pueden creer que el problema real es toda la arquitectura de las extensiones, que solo ahora se está parcheando poco a poco.

A parte de poder aprovecharse del API a un nivel elevado, muchas extensiones de Chrome piden gran cantidad de permisos durante la instalación como la posibilidad de “leer y cambiar todos tus datos en las webs que visitas”.

Recientemente Google ha cambiado los permisos de las extensiones de Chrome para limitarlos a los sitios especificados por el usuario.

El mejor consejo sigue siendo instalar los menos posibles y comprobar cuidadosamente los permisos que piden.

Actualmente eso se puede hace en Chrome una vez que se instale una extensión accediendo a  Extensiones > Detalles.

En Firefox, se muestran los permisos cuando el usuario hace clic en Complementos > Extensiones > Opciones.

En Opera, es Extensiones > Opciones.

 

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: