Las extensiones del navegador Google Chrome exponen a los usuarios a piratas informáticos que pueden acceder fácilmente a sus datos privados, incluidos números de seguridad social, contraseñas e información bancaria, según investigadores de la Universidad de Wisconsin-Madison (UW-M).
Los investigadores descubrieron además vulnerabilidades relacionadas con contraseñas que se almacenan en texto plano dentro del código fuente HTML en sitios web de algunos de los gigantes corporativos más grandes del mundo, incluidos Google, Amazon, Citibank, Capital One y el Servicio de Impuestos Internos.
El problema surge de la forma en que las extensiones acceden al código interno de la página web.
Google ofrece miles de extensiones que los usuarios instalan para manejar eventos de calendario, administración de contraseñas, bloqueo de anuncios, acceso al correo electrónico, almacenamiento de marcadores, traducción y actividades de búsqueda.
Si bien estas extensiones ayudan a ampliar las capacidades del navegador y facilitar la navegación, también exponen los datos almacenados a intrusos, dijo Asmit Nayak, estudiante graduado en ciencias de la computación en la UW-M.
«En ausencia de medidas de protección, como se ve en sitios web como IRS.gov, Capital One, USENIX, Google y Amazon, los datos confidenciales como el SSN y la información de la tarjeta de crédito son accesibles inmediatamente para todas las extensiones que se ejecutan en la página», Nayak dijo en un informe publicado en el servidor de preimpresión arXiv el 30 de agosto. «Esto presenta un riesgo de seguridad significativo, ya que los datos privados quedan vulnerables».
La amenaza persiste a pesar de las medidas de protección introducidas por Google este año y que han sido adoptadas por la mayoría de los navegadores.
Pero aún no existe una capa protectora entre las páginas web y las extensiones del navegador, por lo que los delincuentes aún pueden evadir la detección.
Los investigadores describieron «el descubrimiento alarmante» de contraseñas almacenadas en archivos fuente de páginas web HTML de texto plano.
«Un porcentaje significativo de extensiones posee los permisos necesarios para explotar estas vulnerabilidades», dijo Nayak, añadiendo que él y sus dos colegas identificaron 190 extensiones «que acceden directamente a los campos de contraseña».
Para poner a prueba sus sospechas sobre las vulnerabilidades, los investigadores subieron una extensión que podía explotar las debilidades de la extensión y robar contraseñas de texto sin formato de páginas HTML de sitios web. No contenía ningún código malicioso, por lo que pasó el control de seguridad en Chrome Web Store de Google.
La facilidad con la que los investigadores cargaron una extensión potencialmente dañina «subraya la necesidad urgente de medidas de seguridad más sólidas», dijo Nayak.
Los investigadores desactivaron la extensión después de establecer que podía eludir las medidas de seguridad y leer datos restringidos.
Nayak dijo que las fallas de la extensión se derivaron de dos violaciones procesales clave en la codificación: privilegio mínimo y mediación completa.
El privilegio mínimo se refiere al principio de que a los usuarios y sistemas se les debe otorgar solo el nivel más bajo de privilegio de acceso requerido para completar las tareas. Se debe prohibir cualquier privilegio innecesario. Los estados de acceso predeterminados deben ser «denegar» y no «permitir».
La mediación completa se refiere a la evaluación de todas y cada una de las solicitudes de acceso, sin desviaciones ni excepciones.
Los investigadores propusieron dos formas de solucionar el problema: la primera es un complemento de JavaScript para todas las extensiones que proporciona una cobertura sólida para los campos de entrada sensibles.
La segunda propuesta es agregar una función del navegador que alerta a los usuarios cuando se intenta acceder a datos confidenciales.
El informe, «Exponiendo y abordando vulnerabilidades de seguridad en los campos de entrada de texto del navegador», generó alarmas particulares sobre vulnerabilidades en dos sitios web importantes.
«Los principales mercados en línea como Google y Amazon no implementan ninguna protección para los campos de entrada de tarjetas de crédito. En estos casos, los detalles de la tarjeta de crédito, incluido el código de seguridad y el código postal, son visibles en texto plano en la página web. Esto presenta un riesgo de seguridad significativo, ya que cualquier extensión maliciosa podría acceder y robar esta información confidencial».
El informe continúa: «La falta de protección en estos sitios web es particularmente preocupante, dada su escala y el volumen de transacciones que manejan diariamente».
En respuesta al informe, un portavoz de Amazon dijo: «Alentamos a los desarrolladores de navegadores y extensiones a utilizar las mejores prácticas de seguridad para proteger aún más a los clientes que utilizan sus servicios».
Un portavoz de Google dijo que están investigando el asunto.
