Una falla de seguridad ahora parcheada en el navegador web Opera podr\u00eda haber permitido que una extensi\u00f3n maliciosa obtuviera acceso completo no autorizado a API privadas.<\/p>\n
El ataque, con nombre en clave Ladridos cruzados<\/b>podr\u00eda haber permitido realizar acciones como capturar capturas de pantalla, modificar la configuraci\u00f3n del navegador y secuestrar cuentas, dijo Guardio Labs.<\/p>\n
Para demostrar el problema, la compa\u00f1\u00eda dijo que logr\u00f3 publicar una extensi\u00f3n de navegador aparentemente inofensiva en Chrome Web Store que luego podr\u00eda explotar la falla cuando se instala en Opera, convirti\u00e9ndolo en un ejemplo de un ataque entre tiendas de navegadores.<\/p>\n
“Este estudio de caso no s\u00f3lo destaca el choque perenne entre productividad y seguridad, sino que tambi\u00e9n proporciona una visi\u00f3n fascinante de las t\u00e1cticas utilizadas por los actores de amenazas modernos que operan justo debajo del radar”, Nati Tal, directora de Guardio Labs, dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n El problema ha sido dirigido<\/a> por Opera a partir del 24 de septiembre de 2024, tras la divulgaci\u00f3n responsable. Dicho esto, esta no es la primera vez que se identifican fallos de seguridad en el navegador.<\/p>\n A principios de enero, surgieron detalles de una vulnerabilidad identificada como MyFlaw que aprovecha una caracter\u00edstica leg\u00edtima llamada My Flow para ejecutar cualquier archivo en el sistema operativo subyacente.<\/p>\n La \u00faltima t\u00e9cnica de ataque depende del hecho de que varios de los subdominios de acceso p\u00fablico propiedad de Opera tienen acceso privilegiado a API privadas integradas en el navegador. Estos dominios se utilizan para admitir funciones espec\u00edficas de Opera como Opera Wallet, Pinboard y otras, as\u00ed como aquellas que se utilizan en el desarrollo interno.<\/p>\n Los nombres de algunos de los dominios, que tambi\u00e9n incluyen ciertos dominios de terceros, se enumeran a continuaci\u00f3n:<\/p>\n Si bien el sandboxing garantiza que el contexto del navegador permanezca aislado del resto del sistema operativo, la investigaci\u00f3n de Guardio encontr\u00f3 que guiones de contenido<\/a> presente dentro de una extensi\u00f3n del navegador podr\u00eda usarse para inyectar JavaScript malicioso en dominios demasiado permisivos y obtener acceso a las API privadas.<\/p>\n “El script de contenido tiene acceso al DOM (modelo de objetos de documento)”, explic\u00f3 Tal. “Esto incluye la capacidad de cambiarlo din\u00e1micamente, espec\u00edficamente agregando nuevos elementos”.<\/p>\n Armado con este acceso, un atacante podr\u00eda tomar capturas de pantalla de todas las pesta\u00f1as abiertas, extraer cookies de sesi\u00f3n para secuestrar cuentas e incluso modificar la configuraci\u00f3n DNS sobre HTTPS (DoH) de un navegador para resolver dominios a trav\u00e9s de un servidor DNS controlado por el atacante.<\/p>\n Esto podr\u00eda entonces preparar el escenario para potentes ataques de adversario en el medio (AitM) cuando las v\u00edctimas intentan visitar bancos o sitios de redes sociales redirigi\u00e9ndolos a sus contrapartes maliciosas.<\/p>\n La extensi\u00f3n maliciosa, por su parte, podr\u00eda publicarse como algo inofensivo para cualquiera de los cat\u00e1logos de complementos, incluida Google Chrome Web Store, desde donde los usuarios podr\u00edan descargarla y agregarla a sus navegadores, desencadenando efectivamente el ataque. Sin embargo, requiere permiso para ejecutar JavaScript en cualquier p\u00e1gina web, particularmente en los dominios que tienen acceso a las API privadas.<\/p>\n Con extensiones de navegador maliciosas infiltr\u00e1ndose repetidamente en las tiendas oficiales, sin mencionar algunas leg\u00edtimas que falta transparencia<\/a> en sus pr\u00e1cticas de recopilaci\u00f3n de datos, los hallazgos subrayan la necesidad de tener precauci\u00f3n antes de instalarlos.<\/p>\n “Las extensiones de navegador ejercen un poder considerable, para bien o para mal”, dijo Tal. “Como tal, quienes hacen cumplir las pol\u00edticas deben monitorearlas rigurosamente”.<\/p>\n “El modelo de revisi\u00f3n actual se queda corto; recomendamos reforzarlo con mano de obra adicional y m\u00e9todos de an\u00e1lisis continuo que monitoreen la actividad de una extensi\u00f3n incluso despu\u00e9s de su aprobaci\u00f3n. Adem\u00e1s, hacer cumplir la verificaci\u00f3n de identidad real para las cuentas de desarrollador es crucial, por lo que simplemente usar un correo electr\u00f3nico gratuito y una tarjeta prepaga La tarjeta de cr\u00e9dito no es suficiente para el registro.”<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/El-navegador-Opera-soluciona-un-gran-agujero-de-seguridad-que.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n\n
<\/a><\/center><\/div>\n