El error del navegador Google Chrome expone a miles de millones de usuarios al robo de datos.
La vulnerabilidad permite a los atacantes eludir las protecciones de la Política de seguridad de contenido (CSP) y robar datos de los visitantes del sitio web.
Una vulnerabilidad en los navegadores basados en Chromium de Google permitiría a los atacantes eludir la Política de seguridad de contenido (CSP) en los sitios web para robar datos y ejecutar código falso.
El error ( CVE-2020-6519 ) se encuentra en Google Chrome, Opera y Edge, en Windows, Mac y Android, lo que podría afectar a miles de millones de usuarios de la web, según el investigador de ciberseguridad de PerimeterX, Gal Weizman. Las versiones de Google Chrome 73 (marzo de 2019) a 83 se ven afectadas (la 84 se lanzó en julio y soluciona el problema).
CSP es un estándar web destinado a frustrar ciertos tipos de ataques, incluidos los ataques de inyección de datos y secuencias de comandos entre sitios (XSS). CSP permite a los administradores web especificar los dominios que un navegador debe considerar como fuentes válidas de scripts ejecutables. Un navegador compatible con CSP solo ejecutará scripts cargados en archivos de origen recibidos de esos dominios.
«CSP es el método principal utilizado por los propietarios de sitios web para hacer cumplir las políticas de seguridad de datos para evitar ejecuciones maliciosas de códigos de sombra en su sitio web, por lo que cuando se puede eludir la aplicación del navegador, los datos personales del usuario están en riesgo», explicó Weizman, en una investigación publicada el Lunes.
La mayoría de los sitios web usan CSP, señaló el investigador, incluidos gigantes de Internet como ESPN, Facebook, Gmail, Instagram, TikTok, WhatsApp, Wells Fargo y Zoom. Algunos nombres notables no se vieron afectados, incluidos GitHub, Google Play Store, LinkedIn, PayPal, Twitter, la página de inicio de sesión de Yahoo y Yandex.
Para explotar la vulnerabilidad, un atacante primero necesita obtener acceso al servidor web (a través de contraseñas de fuerza bruta u otro método), para poder modificar el código JavaScript que utiliza. Luego, el atacante podría agregar una directiva frame-src o child-src en el JavaScript para permitir que el código inyectado lo cargue y lo ejecute, sin pasar por la aplicación de CSP y, por lo tanto, sin pasar por la política del sitio, explicó Weizman.
Debido al aspecto posterior a la autenticación del error, se clasifica como un problema de gravedad media (6.5 de 10 en la escala CvSS). Sin embargo, debido a que afecta la aplicación de CSP, esto tiene vastas implicaciones ”, dijo Weizman, comparándolo con tener un problema con cinturones de seguridad, bolsas de aire y sensores de colisión.
“[Debido a la] mayor percepción de seguridad, el daño causado en un accidente cuando este equipo está defectuoso es mucho más severo”, dijo el investigador. “De manera similar, los desarrolladores de sitios web pueden permitir que los scripts de terceros agreguen funcionalidad a su página de pago, por ejemplo, sabiendo que CSP restringirá el acceso a información confidencial. Entonces, cuando la CSP se rompe, el riesgo para los sitios que dependían de ella es potencialmente mayor de lo que hubiera sido si el sitio nunca hubiera tenido CSP para empezar «.
La vulnerabilidad estuvo presente en los navegadores Chrome durante más de un año antes de ser reparada, por lo que Weizman advirtió que aún no se conocen todas las implicaciones del error: “Es muy probable que nos enteremos de violaciones de datos en los próximos meses que la explotaron y resultó en la exfiltración de información de identificación personal (PII) con fines nefastos «.
Los usuarios deben actualizar sus navegadores a las últimas versiones para evitar ser víctimas de un exploit.
