Descubren una vulnerabilidad en los principales navegadores que expone el contenido de Gmail o Facebook
Si hay algo importante y vital para los usuarios son sus datos. Es por ello que aumentar los niveles de seguridad para preservar la privacidad se antoja pieza clave cuando entramos en Internet. Hoy nos hacemos eco de una noticia relacionada con ello. Un investigador de Google ha descubierto una grave vulnerabilidad que afecta a algunos de los principales navegadores modernos como es el caso de Mozilla Firefox o Microsoft Edge. Este fallo permitiría a las páginas robar el contenido confidencial de los usuarios a través de otras páginas en las que hayamos iniciado sesión.
Vulnerabilidad que afecta a Firefox y Edge
Este investigador de seguridad es Jake Archibald. Ha explicado que la vulnerabilidad reside en la manera en la que los navegadores gestionan las solicitudes de origen cruzado a archivos de audio y vídeo. Si son explotados permitirían a un atacante remoto leer mensajes privados de un usuario de Gmail o Facebook, por ejemplo.
Hay que mencionar que, por razones de seguridad, los navegadores modernos no permiten que los sitios web realicen solicitudes de origen cruzado a un dominio diferente a menos que cualquier dominio lo permita explícitamente. Esto quiere decir que si visitamos una página solamente puede solicitar información, datos, del mismo origen desde el que se cargó ese sitio. Esto evita que se pueda robar información de otros sitios.
El problema es que los navegadores no actúan de la misma manera cuando se trata de buscar archivos multimedia alojado en otros sitios. Esto permite que una página que visitemos cargue audio o vídeo de diferentes dominios. Todo sin ninguna restricción. Incluso podrían permitir que se publiquen ciertos contenidos.
Lo que ha descubierto Jake Archibald es que tanto Mozilla Firefox como Edge permiten que los elementos multimedia se mezclen tanto con datos visibles como opacos. Todo ello a través de diferentes fuentes. Esto abre un vector de ataque que puede ser explotado por los ciberdelincuentes.
Esta vulnerabilidad la han denominado Wavethrough. Un ciberdelincuente, a través de este fallo de seguridad, podría eludir las protecciones de los navegadores que evitan solicitudes de origen cruzado.
Archivo multimedia malicioso
Un archivo multimedia podría ser introducido en una web permitiría una explotación maliciosa. Este archivo se reproduciría de forma parcial y obligaría al navegador a buscar el resto del archivo desde el origen, tomando así una solicitud de origen cruzado.
En esta segunda solicitud mezcla datos visibles y ocultos en un archivo multimedia. Es así como los atacantes podrían explotar esta vulnerabilidad. Es la manera en la que un sitio web podría robar contenido de otro.
Una página configurada para ello podría robar, a través de esta vulnerabilidad, contenido privado de páginas web como Gmail o Facebook. Como sabemos estos son dos de los servicios con más usuarios del mundo. Son dos de las plataformas que podrían verse afectadas por este fallo.
Para aquellos usuarios que utilicen Google Chrome o Safari no existe esta vulnerabilidad. Estos navegadores automáticamente rechazan las solicitudes de origen cruzado. Sí afecta, como hemos mencionado, a Mozilla Firefox y Microsoft Edge.
La mejor solución para evitar esta vulnerabilidad pasa por actualizar los navegadores. Aquellos usuarios que utilicen Mozilla Firefox o Microsoft Edge deberían de instalar la última versión.