Chrome y Firefox tienen un extraño fallo que muestra detalles de Facebook

A veces los fallos de seguridad o privacidad provienen de los lugares más insospechados. Unos investigadores en seguridad han descubierto una debilidad en el tratamiento de CSS3 (Cascading Style Sheets 3) por parte de Chrome y Firefox que podría causar la filtración de los nombres de usuario, las imágenes de perfil y los “me gusta” de sitios web como Facebook.

La debilidad fue hallada por el investigador Ruslan Habalov cuando visitó Pinterest y vio que su nombre y su imagen de Facebook estaban siendo mostrados en un botón de Facebook que se encontraba dentro de un iframe de HTML. Tras indagar en más profundidad, descubrió que el origen del problema estaba en el mix-blend-modes de CSS3, una propiedad que fue introducida en 2016 y está soportada totalmente a partir de Chrome 49 en móviles y escritorio y a partir Firefox 59 tanto en móviles como escritorio.

Sobre el papel, la política de seguridad incluida en los navegadores tendría que haber prohibido el acceso al contenido del iframe de origen cruzado, pero en la prueba de concepto desarrollada por el investigador se muestra como es explotada la debilidad hallada en la propiedad mix-blend-modes de CSS3. Dario Weißer, que ha colaborado con Ruslan Habalov en el descubrimiento del fallo, explica lo siguiente:

No podemos acceder al contenido del iframe directamente. Sin embargo, podemos colocar superposiciones sobre el iframe que realizan algún tipo de interacción gráfica con los píxeles subyacentes. Dado que estas superposiciones están controladas por el sitio web del atacante, es posible medir cuánto tiempo duran estas interacciones gráficas.

La propiedad mix-blend-mode es usada para inferir en el contenido del iframe para mostrar la presencia y el color de cada píxel en la pantalla del usuario. Repitiendo este proceso sobre todo el iframe, se hace posible la reconstrucción de parte del contenido, siendo esto algo que puede terminar consumiendo mucho tiempo. Por ejemplo, el nombre usuario podría cargarse en 20 segundos, mientras que una imagen de perfil grande podría tardar 5 minutos.

Si un atacante externo explota esto utilizando un sitio web malicioso, podría deshacer la anonimización de los datos de los visitantes no solo a través de Facebook, sino también de otros sitios web de terceros que estén embebidos en la página principal, aunque para realizar el proceso la víctima tiene que permanecer el tiempo suficiente como para poder filtrar las imágenes privadas, las respuestas de la API y los ficheros de texto de la plataforma atacada (en el ejemplo que nos ocupa, Facebook). Esto se puede hacer debido a que muchos sitios web no tienen la protección de los iframes habilitada.

Los investigadores describen el fallo como “una debilidad de canal lateral”, debido a que han descubierto una forma de extraer datos no a través de una vulnerabilidad, sino mediante un efecto secundario de un software que funciona tal y como estaba diseñado originalmente. Tras asignarle el código CVE-2017-15417, el problema fue corregido en Chrome 63 y Firefox Quantum 60. No se tiene constancia de que Internet Explorer, Microsoft Edge y Safari estén afectados.

Los investigadores avisan de que en el futuro se descubrirán más vulnerabilidades de este tipo, así que los desarrolladores de navegadores web tendrían que estar atentos ante estos supuestos para evitar la explotación de otras debilidades todavía sin descubrir o introducidas sin querer mediante la adición de nuevas características.

Fuente: Naked Security