• Tweet

Las Vegas. Leyendo blogs a través de RSS o Atom puede exponer a los usuarios a ataques de intrusos, advirtió un experto en seguridad.

Los atacantes podrían insertar JavaScript malicioso en el contenido que es transferido a los suscriptores de las fuentes de datos que usan los populares formatos RSS (Really Simple Syndication) o Atom, Bob Auger, un ingeniero de seguridad de la compañía de seguridad en Web SPI Dynamics, dijo el Jueves en una presentación en el evento de seguridad Black Hat.

El problema no afecta sólo a los blogs -- cualquier tipo de mecanismo que proporcione información usada por cualquier formato podría potencialmente ser usado para transmitir contenido malicioso a un suscriptor, dijo Auger. La gente, por ejemplo, se suscribe a las listas de correo y sitios de noticias vía RSS, dijo él, señalando que "este es el concepto fundamental de las fuentes de Internet".

SPI Dynamics examinó un número de aplicaciones locales y remotas que se usan para leer fuentes de RSS y Atom, en todos los casos, cualquier código JavaScript agregado en la fuente podría ejecutarse en la computadora del usuario, esto significa que podría ser vulnerable a un ataque, dijo Auger. JavaScript es un lenguaje de scripting que dicen los expertos esta causando cada vez mas problemas de seguridad.

Los atacantes podría explotar el problema al crear un blog malicioso e incitar a los usuarios a que se suscriban a la fuente RSS. Sin embargo, seria más probable que agregaran JavaScript malicioso a los comentarios de un blog confiable, dijo Auger. "Muchos blogs toman los comentarios de los usuarios y los agregar en sus fuentes RSS", añadió.

Además, los intrusos podrían enviar código malicioso a listas de correo y ofrecer fuentes RSS o Atom y controlar los sistemas vulnerables de esa manera, dijo Auger. Las fuentes de datos son populares porqué le permiten a las personas recopilar información de múltiples sitios, por ejemplo como blogs, en una aplicación, denominada lector de noticias, elimina la necesidad de navegar en múltiples sitios.

Muchas de las aplicaciones de lectores de noticias de datos son criticadas porque los diseñadores han fallado al integrar revisiones de seguridad, dijo Auger, En particular, las aplicaciones no deben de permitir que se incluya JavaScript en las fuentes a ejecutar. En su lugar, este debe ser filtrado, agregó.

Adicionalmente, algunos paquetes de software de lectores de noticias en sistemas Windows usan Internet Explorer para mostrar el contenido de las fuentes, pero no usan las opciones básicas de seguridad que muestran el contenido. En su lugar, el JavaScript es descargado a la computadora y tiene acceso completo, lo cual puede exponer por completo la computadora de la persona, dijo Auger.

"Un alto porcentaje de los lectores que probé tienen alguna clase de problema", dijo. En su presentación, Auger listó a Bloglines, RSS Reader, RSS Owl, Feed Demon y Sharp Reader como vulnerables.