El investigador de Google descubrió una vulnerabilidad grave en los navegadores web modernos que podría haber permitido a los sitios web que visita robar el contenido confidencial.
El robo en los navegadores podría se de sus cuentas en línea desde otros sitios web que haya iniciado sesión en el mismo navegador.
Descubierta por Jake Archibald, defensor de desarrolladores de Google Chrome, la vulnerabilidad reside en la forma en que los navegadores manejan solicitudes de origen cruzado a archivos de video y audio, que de ser explotados podrían permitir a atacantes remotos incluso leer el contenido de tus mensajes de Gmail o Facebook privados.
Por razones de seguridad, los navegadores web modernos no permiten que los sitios web realicen solicitudes de origen cruzado a un dominio diferente a menos que cualquier dominio lo permita explícitamente.
Esto significa que, si visita un sitio web en su navegador, solo puede solicitar datos del mismo origen desde el que se cargó el sitio, evitando que realice una solicitud no autorizada en su nombre en un intento de robar sus datos de otros sitios.
Sin embargo, los navegadores web no responden de la misma manera mientras buscan archivos multimedia alojados en otros orígenes, lo que permite que un sitio web que visite cargue archivos de audio/video de diferentes dominios sin ninguna restricción.
Además, los navegadores también admiten respuestas de encabezado de rango y contenido parcial, lo que permite que los sitios web publiquen contenido parcial de un archivo de medios grande, lo cual es útil al reproducir un medio grande o al descargar archivos con pausa y capacidad de reanudar.
En otras palabras, los elementos de los medios tienen la capacidad de unir piezas de respuestas múltiples y tratarlas como un único recurso.
Sin embargo, Archibald descubrió que Mozilla FireFox y Microsoft Edge permitían que los elementos de los medios mezclaran datos visibles y opacos o datos opacos de múltiples fuentes, dejando un vector de ataque sofisticado abierto para los atacantes.
En una publicación de blog publicada hoy, Archibald detalló esta vulnerabilidad, a la que denominó Wavethrough , y explicó cómo un atacante puede aprovechar esta función para eludir las protecciones implementadas por los navegadores que evitan las solicitudes de origen cruzado.
«Los errores comenzaron cuando los exploradores implementaron solicitudes de rango para elementos de medios, que no estaban cubiertos por el estándar. Estas solicitudes de rango eran realmente útiles, por lo que todos los navegadores lo hicieron copiando el comportamiento de los demás, pero nadie lo integró en el estándar», explicó Archibald.
Según Archibald, este vacío legal puede ser explotado por un sitio web malicioso utilizando un archivo multimedia incrustado en su página web, que si se reproduce, solo sirve contenido parcial de su propio servidor y le pide al navegador que busque el resto del archivo desde un origen diferente, forzando el navegador para hacer una solicitud de origen cruzado.
La segunda solicitud, que en realidad es una solicitud de origen cruzado y debe restringirse, tendrá éxito porque se permite mezclar datos visibles y opacos para un archivo multimedia, lo que permite que un sitio web robe contenido del otro.
«Creé un sitio que hace lo anterior. Usé un encabezado PCM WAV porque todo después del encabezado es información válida, y cualquier Facebook devuelto sería tratado como audio sin comprimir», dijo Archibald.
Archibald también ha publicado un video y un exploit de prueba de concepto que demuestra cómo un sitio web malicioso puede obtener su contenido privado de sitios web como Gmail y Facebook, cuya respuesta será la misma para el sitio malicioso que su navegador los carga por usted.
Dado que Chrome y Safari ya tienen una política en vigor para rechazar tales solicitudes de origen cruzado tan pronto como ven una redirección después de que el contenido subyacente parece haber cambiado entre las solicitudes, sus usuarios ya están protegidos.
«Esta es la razón por la que los estándares son importantes. Creo que Chrome tuvo un problema de seguridad similar hace mucho tiempo, pero en lugar de simplemente solucionarlo en Chrome, la corrección debería haberse escrito en un estándar, y las pruebas deberían haberse escrito para que otros navegadores las verifiquen. «, Dijo Archibald.
Los navegadores FireFox y Edge que resultaron vulnerables a este problema también han parcheado la vulnerabilidad en sus últimas versiones después de que Archibald la haya informado responsablemente a sus equipos de seguridad.
Por lo tanto, se recomienda encarecidamente a los usuarios del navegador Firefox y Edge que se aseguren de que estén ejecutando la última versión de estos navegadores.