Cómo aprovechar el autofill de Chrome para obtener información sensibleElevenPaths 15 octubre, 2013 A finales de 2010, Google introdujo en Chrome autofill, una característica cómoda, pero que puede suponer un problema de seguridad para sus usuarios. Incluso después de que otros navegadores sufrieran problemas de seguridad relacionados con esta funcionalidad, y que la funcionalidad en sí haya sido cuestionada, sigue siendo posible robar la información almacenada del usuario que rellena un formulario sin que lo perciba. En general, almacenar datos sensibles en el navegador no suele resultar una buena idea. Justo antes de que Chrome implementara el «Autofill», en verano de 2010, se descubrió cómo sacar todos los datos almacenados en Safari con fuerza bruta en JavaScript. El usuario rellenaba un campo pero el navegador se encargaba de rescatar todos los demás almacenados, probando todas las letras y dejando que el navegador hiciera el resto. La vulnerabilidad fue parcheada poco después. No hace tanto, en agosto de 2013, se criticó desde muchos frentes lo sencillo que era recuperar contraseñas almacenadas en Chrome, que podían observar en texto plano. Con un sencillo método se puede conseguir que el usuario que escribe en un formulario, entregue esos datos a un tercero sin que sea consciente de ello. ¿Cómo funciona? Autofill de Chrome permite almacenar la dirección postal (dividida en otros datos como nombre, apellidos, teléfono, código postal…) y la tarjeta de crédito (dividida en titular, número y fecha de caducidad). Los datos (excepto la tarjeta de crédito) se pueden sincronizar con la cuenta de Google. El menú de configuración y cómo acceder a él, se observa en la siguiente secuencia de imágenes. Diferentes pantallas de configuración de «autofill» en Chrome Para que un formulario aproveche el autofill, los inputs deben ser debidamente identificados para que Chrome sepa qué valores corresponden. Dispone de cierta heurística para intentar que casen los campos. Por ejemplo sabe que autocomplete=»mail» debe ir autocompletado con el mismo contenido que cuando lleva de valor autocomplete=«Work email». El «ataque» Un atacante puede aprovechar esta característica del navegador para obtener información privada como puede ser los datos del domicilio o datos de la tarjeta bancaria. Planteamos un escenario en el que la víctima visite una página web por https especialmente modificada, introduzca los datos y el atacante se ayude del autofill que ofrece el navegador para obtener datos sensibles almacenados. Todo esto a pesar de las pequeñas trabas que introduce Chrome en su código para evitarlo. Por ejemplo, como precaución, Chrome solo proporciona la tarjeta de crédito a páginas bajo https. Esto no es ningún problema para un atacante, pues es solo tiene que operar a través de una conexión SSL. Existen páginas fraudulentas que funcionan con certificados gratuitos. El segundo paso es preparar el formulario y ocultar a los ojos de la víctima, los inputs que interesan al atacante. La primera aproximación pensaría en utilizar la etiqueta «hidden». Pero en el input el atributo type no puede llevar ese valor. Una segunda aproximación podría ser introducir el formulario dentro de un div con la propiedad visibility en «hidden«… pero Chrome evita que los inputs sean auto-rellenados cuando se cumplen estas condiciones. ¿Cómo conseguirlo entonces? Una fórmula puede ser aprovechar la propiedad de scroll, subiendo la capa algunos píxeles para que no se observen el resto de inputs en los que se pretende recopilar la información. En este caso, el formulario «gancho» se vería: Pero, usando este «div», conseguimos que en su interior se oculten todos estos inputs y no se visualicen en el navegador: div style =»overflow:hidden;height:25px;» Chrome rellenará toda la información adicional sin que la vea el usuario. El atacante, recopilará la información y podrá disponer de muchos más datos de los que cree haber rellenado el usuario. En resumen, aunque resulte cómodo (para sistemas usados por una misma persona solamente), debe evitarse el uso de la funcionalidad autofill, puesto que se ha demostrado que es posible ofrecer a cualquier página bajo https datos tan sensibles como el número de la tarjeta de crédito y su fecha de caducidad, sin que la víctima sea consciente. Para evitar este problema (o potenciales en el futuro), por ahora el mejor remedio es simplemente no utilizar esta funcionalidad. Ricardo Martín Rodríguez ricardo.martin@11paths.com El malware para Android se exagera… según la propia GoogleDNS poisoning gracias a los sistemas de protección anti-DDoS
María Riesgo Educación en tecnología de la información, ¿peligro u oportunidad? El mundo avanza considerablemente rápido. Si echamos un vistazo atrás, no podríamos imaginarnos la posibilidad de conectarnos a un ordenador sin interrumpir el teléfono fijo de casa o contestar...
Cristina del Carmen Arroyo Siruela ¿Qué distingue a una Mujer Hacker? Qué tiene de especial una Mujer Hacker es algo que he ido descubriendo a lo largo de mi vida, a lo largo de mis distintas vivencias con la tecnología. Mi primera experiencia, como muchas de...
ElevenPaths #MujeresHacker: apuesta por tu pasión #MujeresHacker, la iniciativa global de Telefónica que persigue visibilizar el papel de la mujer dentro del sector tecnológico y concienciar a nuestras niñas sobre su potencial para estudiar carreras...
ElevenPaths Entrevista: hablamos de libros y #MujeresHacker con Javier Padilla Hace unos días tuvimos la oportunidad de hablar con Javier Padilla, emprendedor en Internet y escritor de los libros protagonizados por la joven hacker Mara Turing, una charla muy...
ElevenPaths Boletín semanal de ciberseguridad 27 de febrero – 5 de marzo HAFNIUM ataca servidores de Microsoft Exchange con exploits 0-day Microsoft ha detectado el uso de múltiples exploits 0-day para llevar a cabo ataques dirigidos contra las versiones on premise de...
ElevenPaths Todo lo que necesitas saber sobre los certificados SSL/TLS ¿Qué es un certificado digital? Un Certificado digital SSL/TLS (Secure Sockets Layer/Transport Layer Security) es el protocolo de seguridad más utilizado que permite realizar una transferencia de datos de manera cifrada...
