En el período previo a su presentación en la conferencia Black Hat, Jeremiah Grossman de White Hat Security dijo a The Register que los usuarios que permiten la opción de autocompletar en los campos de formulario de uso frecuente, tales como nombres ó direcciones de correo electrónico, puede convertirse en un blanco fácil para los ladrones de datos. Por ejemplo, los datos completos de auto-informes, se pueden recuperar de forma automática a través de JavaScript en Safari 4 y 5.

Para explotar la falla es a través de una página web diseñada la cual se crea con varios campos de entrada tales como etiquetas típicas como nombre, dirección de correo electrónico ó número de tarjeta de crédito. Un script es creado que trata de todas las posibles letras que por primera vez se introducen en estos campos. Esto desencadena la función de autocompletado la cual comienza en el primer carácter una vez se haya introducido. Si el explorador auto-finaliza las letras para hacer una palabra, el script procesa el valor ingresado. Esto incluso se puede hacer invisible a través de campos de formulario ocultos.

Grossman informó a Apple sobre el escape de los datos el 17 de junio, pero dice que hasta ahora no ha recibido ninguna respuesta, que no sea una respuesta automática de confirmación de recibo. Una forma similar de este escenario de ataque ya es familiar desde las versiones 6 y 7 de Microsoft Internet Explorer. En combinación con cross-site scripting, Chrome y Firefox también se dice que son vulnerables. Allí, los atacantes incluso tienen la posibilidad de obtener datos de los navegadores de la opción ‘auto-completar’ sólo de entrar en la página web relevante – como el de un usuario para acceder al sistema de información, como ya se ha demostrado en el artículo titulado ” Password stealing for dummies “de The H Open.

En la conferencia Black Hat, Grossman también demuestra que las páginas web arbitrarias pueden destruir todas las cookies almacenadas en el navegador. Para ello, un gran número de cookies se envían al explorador. Una vez que un cierto número se alcance la más antiguas cookies simplemente se sobrescribirán – independientemente de su origen. En Firefox, por ejemplo, después de 2,5 segundos y 3.000 nuevas cookies, no se quedan cookies originales.

Actualización – Grossman ha publicado una prueba de concepto y un vídeo de demostración en su blog. En una prueba dirigida por The H’s asociados en Heise Security, el script de forma fiable reveló el nombre, empresa, ciudad, estado, país y dirección de correo electrónico del usuario actualmente logeado en medio minuto. La ejecución de la prueba fue utilizando la versión 5.0 de Safari en Windows 7.

Para evitar estas vulnerabilidades y que nuestra informacion personal caiga en manos de ciberdelincuentes, dadas las circunstancias es prudente desabilitar la opcion de Autocompletar de nuestros navegadores, aunque conlleve a que pasemos un poco de trabajo al llenar los formularios.

Fuente: The H Security

Anuncios