• Tweet

27 de 100 extensiones probadas de Google Chrome resultaron vulnerables a ataques de extracción de datos (contraseñas, historial, etcétera), a través de sitios web maliciosos especialmente diseñados o por atacantes en redes WIFI públicas.

Créditos: Help Net Security

Un grupo de tres investigadores en seguridad han analizado manualmente 50 de las extensiones más populares de Google Chrome, y agregaron a esa lista 50 más escogidas aleatoriamente.

“Nosotros buscamos vulnerabilidades por inyección de JavaScript en los núcleos de las extensiones (las páginas de fondo, ventanas emergentes y páginas de opciones); la inyección de scripts en el núcleo, permite el control total de la extension,” explicó Adrienne Porter Felt, uno de los investigadores. Para probar su afirmación, llevaron a cabo ataques específicos diseñados para aprovecharse de las vulnerabilidades.

Las mala noticia es que poco más del 25% de las extensiones probadas fueron vulnerables, y entre ellas están siete que son usadas por más de 300,000 usuarios.

Sin embargo, también hay buenas noticias: 49 de las 51 vulnerabilidades encontradas pueden ser arregladas con facilidad al adaptar las extensiones al usar alguna de las dos Políticas de Seguridad en Contenido (CSP), ofrecidas.

Estas políticas previenen una exitosa inyección de código JavaScript malicioso en varios sentidos: bloqueando el uso de la función eval de tal forma que datos no confiables no puedan ser ejecutados como código; moviendo código JavaScript legítimo a un archivo .js para que cuando scripts maliciosos sean inyectados, puedan ser diferenciados inmediatamente y reconocidos por lo que son; y deshabilitando, completa o parcialmente, todos los scripts externos.

“Además de los errores en los núcleos de las extensiones, éstas pueden agregar vulnerabilidades a los sitios web,” señala Porter Felt. “ La Comunicación de Procesos Secuenciales (CSP) no evitará esto, pero los desarrolladores deben recordar no usar la propiedad innerHTML para modificar sitios web. En lugar de ello, usen los métodos appendChild de innerText o DOM (Document Object Model). Las extensiones también, no deberán agregar scripts HTTP o CSS a sitios web HTTPS”.