MADRID, 4 Sep. (Portaltic/EP) -
El 12,5 por ciento de las extensiones de los navegadores Chrome, Mozilla y Safari disponen de los permisos necesarios para extraer información de páginas web, tal y como ha analizado un grupo de investigadores recientemente.
Es uno de los datos destacados de un informe en el que los investigadores de la Universidad de Wisconsin-Madison (Estados Unidos) para conocer y abordar las vulnerabilidades de seguridad en texto plano de sitios web.
Los archivos de texto plano, llano o simple ('plain text') son aquellos formados exclusivamente por texto, es decir, únicamente con caracteres y sin ningún formato de negritas, cursiva o subrayado.
De este modo, si se abre el código HTML en texto plano, se puede conocer el contenido de una página, que aparecería junto con todas las etiquetas que le atribuyen un formato determinado a ese sitio web.
Estos investigadores han analizado las vulnerabilidades de seguridad en los archivos de texto plano de las páginas web y han determinado que el 12,5 por ciento de las extensiones de los navegadores Chrome, Mozilla y Safari pueden acceder a estos datos.
Esto significa que 17.300 extensiones tienen los permisos necesarios para visualizar y robar información sensible, como contraseñas o credenciales de acceso, tal y como se matiza en este informe, en el que se destaca que webs como Gmail, Cloudflare, Facebook o Amazon carecían de sus correspondientes medidas de seguridad para evitar estos robos.
Para explicar este problema, los analistas han creado una extensión de Chrome de prueba, que en ningún caso se ha llegado a publicar, con la que han demostrado los riesgos a los que se exponen los usuarios durante la navegación.
En concreto, crearon una falsa extensión que se hacía pasar por un asistente basado en GPT que en realidad era capaz de capturar el código fuente y extraer entradas del usuario. Debido a que no contenía código malicioso obvio, fue aceptada por Google Chrome, de modo que los controles del seguridad del navegador no detectaron la amenaza potencial de esta extensión.
Desde este informe han aludido al peligro que reside en la práctica sistémica de dar a las extensiones del navegador el acceso ilimitado al llamado árbol del Modelo de Objetos del Documento (DOM), esto es, la estructura del documento HTML.
La interfaz de programación de aplicaciones (API) del DOM permite que JavaScript acceda a cualquiera de los componentes del código fuente de una página web, de modo que se pueden conocer elementos potencialmente sensibles, como los campos de entrada de los usuarios o las ID.
Así, una vez que se carga una extensión en una página web, se tiene acceso sin restricciones a todos los elementos de la página, incluidos los campos de entrada confidenciales, lo que pone en evidencia la ausencia de un límite de seguridad entre las extensiones y los elementos HTML.
De hecho, en el documento se matiza que la extensión puede aprovechar la API del DOM para extraer directamente el valor de las entradas de texto plano a medida que el usuario las ingresa, de modo que evita cualquier ofuscación o bloqueo por parte de la web para peoteger las entradas de texto confidenciales.
Los investigadores recuerdan en este caso que los agentes maliciosos pueden aprovechar esa vulnerabilidad para perpetrar ataques de código dinámico, esto es, que utilizan el código malicioso de un servidor externo y lo ejecutan en la página web de destino.
PRESUNTA SOLUCIÓN CON MANIFEST V3
Los encargados de elaborar este estudio también han recordado que con Manifest V3 (MV3), esto es, la plataforma de extensiones de Chrome, Google introdujo cambios a nivel de privacidad, seguridad y rendimiento.
Esto se debe a que MV3 limita el abuso de la API, porque prohíbe que las extensiones obtengan código alojado de forma remota. Sin embargo, Manifest V3 no introduce un límite de seguridad entre las extensiones y las páginas web, de modo que persiste el problema con los 'scripts' de contenido.
