Home Sociedad Un error del navegador Google Chrome expone a miles de millones de...

Un error del navegador Google Chrome expone a miles de millones de usuarios al robo de datos

Una vulnerabilidad en los navegadores basados en el cromo de Google permitiría a los atacantes eludir la Política de Seguridad de Contenidos (CSP) en los sitios web, con el fin de robar datos y ejecutar código malicioso.

El error (CVE-2020-6519) se encuentra en Chrome, Opera y Edge, en Windows, Mac y Android – afectando potencialmente a miles de millones de usuarios de la web, según el investigador de seguridad cibernética de PerimeterX, Gal Weizman. Las versiones de Chrome 73 (marzo de 2019) a la 83 están afectadas (la 84 fue lanzada en julio y corrige el problema).

CSP es un estándar web que tiene por objeto frustrar ciertos tipos de ataques, incluidos los de secuencia de comandos en sitios cruzados (XSS) y los de inyección de datos. CSP permite a los administradores de la web especificar los dominios que un navegador debe considerar como fuentes válidas de scripts ejecutables. Un navegador compatible con CSP sólo ejecutará entonces los scripts cargados en los archivos fuente recibidos de esos dominios.

La mayoría de los sitios web utilizan CSP, señaló el investigador, incluyendo gigantes de Internet como ESPN, Facebook, Gmail, Instagram, TikTok, WhatsApp, Wells Fargo y Zoom. Algunos nombres notables no se vieron afectados, incluyendo GitHub, Google Play Store, LinkedIn, PayPal, Twitter, Yahoo’s Login Page y Yandex.

Para explotar la vulnerabilidad, un atacante necesita primero acceder al servidor web (mediante contraseñas de fuerza bruta u otro método), para poder modificar el código JavaScript que utiliza. Luego, el atacante podría agregar una directiva frame-src o child-src en el JavaScript para permitir que el código inyectado se cargue y se ejecute, pasando por alto la aplicación del CSP y, por lo tanto, pasando por alto la política del sitio, explicó Weizman.

Debido al aspecto de post-autenticación del error, se clasifica como un problema de gravedad media (6,5 de 10 en la escala CvSS). Sin embargo, debido a que afecta a la aplicación de la CSP, esto tiene vastas implicaciones”, dijo Weizman, comparándolo con tener un problema con los cinturones de seguridad, airbags y sensores de colisión.

La vulnerabilidad estuvo presente en los navegadores Chrome durante más de un año antes de ser reparada, por lo que Weizman advirtió que aún no se conocen todas las implicaciones del fallo: “Es muy probable que en los próximos meses nos enteremos de violaciones de datos que la explotaron y que dieron lugar a la exfiltración de información personal identificable (PII) con fines nefastos”, indicó el experto.

Con información de: Threat Post.