Investigadores de seguridad han encontrado dos fallos de seguridad que afectan a los sistemas de extensión incorporados en varios navegadores. Éstos son Firefox, Safari y otros como Chrome u Opera. Estos defectos pueden ser explotados por un atacante para exponer una lista de las extensiones instaladas del usuario con una precisión del 100%. Esta información se puede utilizar para usar las huellas dactilares de los usuarios en función de sus extensiones instaladas, para desenmascarar usuarios anónimos que se ocultan detrás del tráfico de VPN o Tor, o para crear perfiles de publicidad.
Fallos de seguridad
Estos defectos han sido descubiertos por parte de dos investigadores de la Universidad de Deusto, en España, y un investigador de Eurecom, en Francia.
De estos fallos de seguridad, el primero afecta al sistema de extensión utilizado en navegadores basados en Chromium, como Google Chrome, Opera, Yandex Browser y Comodo Dragon. El mismo sistema de extensión, la API de WebExtensions, también es utilizado por versiones más recientes de Firefox, Edge, Vivaldi y Brave. Los investigadores no probaron estos navegadores, pero dijeron que creen que también están afectados.
La API de WebExtensions protege a los navegadores contra los atacantes que intentan recopilar información de las extensiones instaladas utilizando la configuración de control de acceso en forma del archivo manifest.json incluido en cada extensión. Este archivo bloquea sitios web para comprobar cualquiera de los archivos y recursos internos de la extensión a menos que el archivo manifest.json esté configurado específicamente para permitirlo.
Los investigadores descubrieron que el navegador que usa la API de Chromium WebExtensions tarda un poco más en responder a una solicitud de un sitio web para los archivos almacenados localmente para una extensión falsa en comparación con una extensión válida pero con la ruta incorrecta.
Esto permitió a los investigadores deducir qué extensiones se instalan en el navegador del usuario atacando el objetivo con una serie de solicitudes duales y registrando el tiempo que tarda un navegador en responder.
Esto funcionó para Chrome, Opera, Yandex Browser y Comodo Dragon.
También en Firefox
Firefox también es vulnerable. Actualmente, el navegador está pasando de la antigua API de complementos basada en XML a la API WebExtensions de Chromium.
Los investigadores no probaron la implementación más reciente ya que todavía estaba en desarrollo, pero dijeron que la vieja API de complementos también es vulnerable al mismo ataque. Además, como Firefox genera errores especiales al solicitar archivos de extensiones falsas, el ataque es aún más preciso en este navegador.
Segundo fallo
El segundo de los fallos de seguridad que descubrieron se denomina pérdida de URI y afecta al modelo de extensiones de Safari. Estas extensiones no utilizan el archivo manifest.json para restringir el acceso a los archivos de extensión. En su lugar, generan una URL aleatoria por sesión de navegador a la que sólo los usuarios pueden acceder mientras lo utilizan. Siempre puedes usar antivirus como extensión.
Los investigadores descubrieron métodos para filtrar los datos necesarios para adivinar estas URL aleatorias. Las pruebas mostraron que fueron capaces de filtrar la URL de la extensión en el 40,5% de las extensiones probadas.
Los investigadores también detallaron métodos para usar estos dos fallos con fines publicitarios, pero también para aplicaciones malintencionadas como malware, ingeniería social o extensiones vulnerables.