La mayoría de los navegadores web, tanto de escritorio como móviles, ofrecen a los usuarios diferentes herramientas que les haga más cómodo su uso, por ejemplo, mostrando una serie de sugerencias de búsqueda relacionadas con lo que se escribe en la barra de direcciones. Los navegadores son capaces de generar estas sugerencias enviando previamente los datos a los diferentes motores de búsqueda, sin embargo, en algunos casos, esta aparentemente inofensiva utilidad puede estar poniendo en peligro la estabilidad de nuestro sistema ocultando una vulnerabilidad.
Dos investigadores de seguridad de la empresa Nightwatch Cybersecurity han detectado una vulnerabilidad en las versiones más recientes de los dos navegadores web más utilizados: Google Chrome y Mozilla Firefox, tanto en sus versiones de escritorio como en smartphones y tablets, que pueden llegar a desde bloquear el navegador hasta llegar a congelar el sistema operativo por completo.
Esta vulnerabilidad se encuentra en el código del motor de sugerencias de ambos navegadores, una función que permite al usuario recibir sugerencias de búsqueda a medida que va a escribiendo en la barra de direcciones con el fin de intentar adivinar en qué está interesado y ahorrar el tiempo de escribir la consulta completa.
La vulnerabilidad se debe a que algunas búsquedas a partir de las sugerencias no se realizan a través del protocolo HTTPS
Según estos expertos de seguridad, cuando un usuario envía una búsqueda a través de la barra de direcciones, hay algunos motores de búsqueda que no fuerzan a que el tráfico viaje seguro a través del protocolo HTTPS, sino que lo hace a través del protocolo HTTP normal, lo que puede permitir a un atacante interceptar el paquete en un punto medio de la conexión entre el usuario y el motor de búsqueda y responder a él antes que el buscador.
Una vez que un atacante intercepta este paquete, puede contestar a él antes que el motor de búsqueda y enviar de vuelta al usuario una gran cantidad de datos de manera que el navegador, o incluso el sistema operativo, se excedan en consumo de recursos hasta lograr su completo bloqueo.
La relación entre los navegadores y los motores de búsqueda que no utilizan el cifrado HTTPS es:
- Firefox – Ebay
- Google Chrome – AOL y Ask.com
- Navegador base de Android – Bing y Yahoo!
Durante las pruebas, los investigadores han conseguido explotar esta vulnerabilidad en el navegador web por defecto de Android 4.4, en Chrome 51 en Android 6.0.1 y en Firefox en Ubuntu 16.04, consiguiendo incluso colgar todo el sistema operativo en este último caso. Por suerte, aunque lo han intentado, los investigadores de seguridad no han sido capaces de aprovechar esta vulnerabilidad para ejecutar código malicioso en los navegadores web afectados, por lo que lo único con lo que podríamos encontrarnos es con un bloqueo, nada que no se solucione con un reinicio.
Cómo protegernos de esta vulnerabilidad
Google y Mozilla no han considerado esto como un fallo de seguridad, por lo que, aunque lo van a solucionar, no tienen prisa en hacerlo, y se calcula que el correspondiente parche llegará a lo largo de este año. Mientras los desarrolladores solucionan el fallo y lo liberan a los usuarios, lo mejor que podemos hacer es desactivar en nuestro navegador todos los motores de búsqueda, incluso si no los utilizamos (para evitar que establezcan conexiones en segundo plano) y dejar solo uno que sepamos que funciona de forma segura, por ejemplo, Google.
Internet Explorer, Microsoft Edge y Safari no son vulnerables a este fallo, aunque debemos tener en cuenta que este último solucionó un fallo muy similar hace menos de un año, por lo que tampoco es un navegador tan seguro como muchos piensan.
¿Qué opinas de esta vulnerabilidad? ¿Deberían considerarla como fallo de seguridad?
Quizá te interese:
- Dos vulnerabilidades en LastPass comprometen todas las contraseñas
- 0Patch, una solución eficaz contra las vulnerabilidades 0-day