Un grupo de investigadores de la Universidad de Wisconsin-Madison (Estados Unidos) advierte en un informe que el 12,5% de las extensiones de los navegadores Chrome, Firefox y Safari disponen de los permisos necesarios para extraer información de páginas webs.
Con este documento, los expertos quieren conocer y abordar las vulnerabilidades de seguridad en texto plano de sitios web para evitar el robo de información sensible —contraseñas o claves de acceso— de plataformas que carecían de medidas de seguridad, como Gmail, Cloudflare, Facebook o Amazon.
Por si no lo sabías, los archivos de texto plano son aquellos que están formados exclusivamente por texto, es decir, únicamente con caracteres y sin ningún formato de negritas, cursiva o subrayado. De este modo, si se abre el código HTML en texto plano, se puede conocer el contenido de una página, que aparecería junto con todas las etiquetas que le atribuyen un formato determinado a ese sitio web.
¿Cómo extraen la información confidencial?
Para explicar el problema, los analistas han creado una extensión de Chrome para demostrar los riesgos a los que se exponen los usuarios durante la navegación.
En concreto, crearon una extensión falsa que se hacía pasar por un asistente basado en GPT que era capaz de capturar el código fuente y extraer entradas del usuario. Además, como no contenía código malicioso fue aceptada por Google Chrome, de modo que los controles de seguridad del navegador no detectaron la amenaza de esta extensión.
Su interfaz de programación de aplicaciones (API) del DOM permite que JavaScript acceda a cualquiera de los componentes del código fuente de una página web para conocer los elementos potencialmente sensibles, como los campos de entrada de los usuarios o las ID. Así, una vez que se carga una extensión, se tiene acceso sin restricciones a todos los elementos de la página, incluidos los campos de entrada confidenciales —lo que pone en evidencia la ausencia de un límite de seguridad entre las extensiones y los elementos HTML—.
Por otro lado, en el documento se matiza que la extensión puede aprovechar la API del DOM para extraer directamente el valor de las entradas de texto plano a medida que el usuario las ingresa, así pues, evita cualquier bloqueo por parte de la web para proteger las entradas de texto confidenciales.
Los investigadores recuerdan en este caso que los ciberdelincuentes se benefician de esta vulnerabilidad para ejecutar ataques de código dinámico que utilizan el código malicioso de un servidor externo.
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.
Comentarios
Hemos bloqueado los comentarios de este contenido. Sólo se mostrarán los mensajes moderados hasta ahora, pero no se podrán redactar nuevos comentarios.
Consulta los casos en los que 20minutos.es restringirá la posibilidad de dejar comentarios