Bug en Chrome permite ver datos privados de Facebook

Iniciado por K A I L, Agosto 16, 2018, 12:01:35 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.



Con el lanzamiento de Chrome 68, Google marca de forma destacada todos los sitios web que no son HTTPS como 'No seguro' en su navegador para hacer que la web sea un lugar más seguro para los usuarios de Internet.

Si aún no lo ha hecho, hay otra razón importante para cambiar de inmediato a la última versión del navegador web Chrome.

Ron Masas, un investigador de seguridad de Imperva, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta en los navegadores web que podría permitir a los atacantes encontrar todo lo que otras plataformas web, como Facebook y Google, conocen de ti, y todo lo que necesitan es engañarte para que visites un sitio web.

La vulnerabilidad, identificada como CVE-2018-6177, aprovecha una debilidad en las etiquetas HTML de audio / video y afecta a todos los navegadores web impulsados ​​por "Blink Engine", incluido Google Chrome.

Para ilustrar el escenario de ataque, el investigador tomó un ejemplo de Facebook, una popular plataforma de redes sociales que recopila información exhaustiva sobre sus usuarios, incluida su edad, sexo, dónde ha estado (datos de ubicación) e intereses, es decir, qué te gusta y lo que no.

Debe tener en cuenta que Facebook ofrece una función de orientación de publicación para los administradores de la página, lo que les permite definir una audiencia restringida o específica para publicaciones específicas según su edad, ubicación, sexo e interés.

¿Cómo funciona el ataque del navegador?



Para demostrar la vulnerabilidad, el investigador creó múltiples publicaciones en Facebook con diferentes combinaciones de audiencias restringidas para categorizar a las víctimas según su edad, ubicación, interés o género.

Ahora, si un sitio web incorpora todas estas publicaciones de Facebook en una página web, cargará y mostrará solo algunas publicaciones específicas al final de los visitantes, basadas en los datos de perfil de los usuarios en Facebook que coinciden con la configuración de audiencia restringida.

Por ejemplo, si un post-define para ser visible solo para los usuarios de Facebook con 26 años de edad, varón, con interés en hackear o Seguridad de la información, se cargó con éxito, un atacante puede potencialmente aprender información personal de los visitantes, independientemente de su configuración de privacidad.

Aunque la idea suena emocionante y bastante simple, no hay formas directas disponibles para que los administradores del sitio determinen si una publicación incrustada se cargó con éxito para un visitante específico o no.



Gracias a Cross-Origin Resource Sharing (CORS), un mecanismo de seguridad del navegador que evita que un sitio web lea el contenido de otros sitios sin su permiso explícito.

Sin embargo, el investigador de Imperva descubrió que, dado que las etiquetas HTML de audio y video no validan el tipo de contenido de los recursos obtenidos o rechazan las respuestas de tipos MIME inválidos, un atacante puede usar múltiples etiquetas ocultas de video o audio en un sitio web para solicitar publicaciones en Facebook.

Aunque este método no muestra las publicaciones de Facebook como está previsto, sí permite que el sitio web controlado por el atacante mida (usando JavaScript) el tamaño de los recursos de origen cruzado y el número de solicitudes para averiguar qué publicaciones específicas se obtuvieron con éxito de Facebook para un visitante individual.

"Con varios scripts ejecutándose a la vez, cada uno probando una restricción diferente y única, el mal actor puede extraer una cantidad relativamente buena de datos privados sobre el usuario", dijo Masses.

"Descubrí que al diseñar sitios para devolver un tamaño de respuesta diferente en función de las propiedades del usuario actualmente registradas, es posible utilizar este método para extraer información valiosa".

Un miembro del equipo de seguridad de Google también señaló que la vulnerabilidad también podría funcionar contra sitios web que usan API para obtener información específica de la sesión del usuario.

El núcleo de esta vulnerabilidad tiene algunas similitudes con otro error del navegador, parcheado en junio de este año, que aprovechó una debilidad en cómo los navegadores web manejan las solicitudes de origen cruzado a archivos de video y audio, permitiendo a los atacantes leer el contenido de Gmail o mensajes privados de Facebook.

El investigador de Imperva informó sobre la vulnerabilidad a Google con un exploit de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, y el equipo de Chrome parchó el problema en la versión de Chrome 68.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta