El 12,5% de las extensiones de Chrome, Firefox y Safari pueden extraer información confidencial
Según ha analizado un grupo de investigadores, los navegadores Chrome, Mozilla y Safari disponen de los permisos necesarios para extraer información de páginas web, pudiendo afectar a la privacidad de los usuarios.
Las garantías de privacidad de datos en línea vuelven a dejar que desear una vez más. Y es que, según han desvelado un grupo de investigadores de la Universidad de Wisconsin-Madison (Estados Unidos), los navegadores Chrome, Mozilla y Safari disponen de los permisos necesarios para extraer información de páginas web. Esta es una de las conclusiones más destacadas del informe publicado por los expertos con el fin de conocer y abordar las vulnerabilidades de seguridad en texto plano de sitios web. Los citados archivos de texto plano, llano o simple (plain text, por su terminología en inglés), se corresponden con aquellos conformados exclusivamente por texto, es decir, únicamente con caracteres y sin ningún formato de negritas, cursiva o subrayado.
Datos al descubierto
Así, en caso de abrir el código HTML en texto plano, se puede conocer el contenido de una página, que aparecería junto con todas las etiquetas que le atribuyen un formato determinado a ese sitio web. Este es el punto de partida de la investigación que, tal y como han comentado los expertos, aspiraba a analizar las vulnerabilidades de seguridad en los archivos de texto plano de las páginas web. En total, han determinado, el 12,5% de las extensiones de los navegadores Chrome, Mozilla y Safari pueden acceder a estos datos.
Esto se traduce en cifras todavía más altas: alrededor de 17.300 extensiones tienen los permisos necesarios para visualizar y robar información sensible, como contraseñas o credenciales de acceso. Así lo detalla el pliego que apunta directamente a páginas web como Gmail, Cloudflare, Facebook o Amazon por carecer de las correspondientes medidas de seguridad para evitar estos robos.
Metodología subyacente
Para abordar la problemática, los investigadores crearon una extensión de Chrome de prueba, que en ningún caso se ha llegado a publicar, con la que han constatado los riesgos a los que podrían exponerse los usuarios durante la navegación. De esta manera optaron por crear una falsa extensión que se hacía pasar por un asistente basado en GPT, aunque su funcionalidad clave consistía en capturar código fuente y extraer entradas del usuario. Debido a que no contenía código malicioso obvio, fue validada por Google Chrome, de modo que los controles de seguridad del navegador no detectaron la amenaza potencial de esta extensión.
Desde el grupo de investigación han alzado la voz para evidenciar el peligro que reside en la práctica sistémica de dar a las extensiones del navegador el acceso ilimitado al llamado árbol del Modelo de Objetos del Documento (DOM), o lo que es lo mismo, a la estructura del documento HTML. La interfaz de programación de aplicaciones (API) del DOM permite que JavaScript acceda a cualquiera de los componentes del código fuente, de modo que se pueden conocer elementos potencialmente sensibles, como los campos de entrada de los usuarios o las ID. Así, una vez que se carga una extensión en una página web, se tiene acceso sin restricciones a todos los elementos de la página, incluidos los campos de entrada confidenciales,
En este caso, los investigadores alertan que los agentes maliciosos pueden aprovechar esa vulnerabilidad para perpetrar ataques de código dinámico.
