• Tweet

Investigadores de seguridad han identificado vulnerabilidades en extensiones de Chrome OS que permiten a atacantes robar información sensible y acceder a la cuenta de la víctima.

De acuerdo con Reuters, los investigadores Matt Johansen y Kyle Osborn de WhiteHat Security originalmente descubrieron el hoyo de seguridad en una aplicación para tomar notas de Chrome OS.

Google solucionó el problema a inicios de este año y pagó a los investigadores $1,000 dólares a través de su programa de recompensas, sin embargo, los dos expertos han identificado desde entonces el mismo tipo de vulnerabilidad en múltiples extensiones de Chrome.

Google hace alarde de que Chrome OS es más seguro que una PC regular porque eliminaron muchos vectores de ataque y se benefician de capas adicionales de seguridad como el “sandboxing” y verificaciones de integridad.

Sin embargo, como un sistema operativo orientado a web, Chrome OS depende de las extensiones y aplicaciones para tener funcionalidad adicional y por sí mismo se expone a una amplia gama de ataques.

Al navegar a través de la colección de extensiones en la tienda en línea “Chrome Web Store” y notarás que muchas de ellas tienen un mensaje de advertencia que se lee “Esta extensión puede acceder a: Tus datos personales en todos los sitios web”.

En caso de que nunca hayas puesto atención a esto, has de saber que no estás solo. Muchos usuarios no lo saben, y es por eso que la mayoría de las extensiones que pueden hacer algo útil requieren de este permiso.

De acuerdo con la documentación oficial de Google, al instalar tal extensión se está de acuerdo  en que “Este elemento puede leer cada página que visites -tu banco, tu correo electrónico, tu perfil de Facebook y más”.

“Precaución: En vez de ver todas tus páginas este elemento podría usar tus credenciales (cookies) para requerir tus datos de sitios web”, esto se lee en la sección de ayuda de la  Chrome Web Store.

Espera un momento, ¿qué- Si, has leído bien. Al instalar una extensión le das acceso a mucho de lo que tú haces cuando estás en línea, un compromiso muy grande, aunque desconocido para mucha gente.

Y recuerda, estas extensiones no son codificadas por Google. No son sujetas a rigurosas revisiones de código ni tampoco revisadas con gran escrutinio antes de estar disponibles en la Chrome Web Store.

Como resultado, las extensiones contienen vulnerabilidades o podrían tenerlas, y así dar acceso a atacantes a tu experiencia de navegación en Internet y más.

Los dos investigadores de WitheHat  Security planean demostrar esto en la conferencia de seguridad de BlackHat a finales de este año y su presentación probablemente ayudará a aumentar el nivel de conciencia acerca del problema.

No obstante, como es un fallo de diseño, no hay solución sencilla. Por el momento, se recomienda a los usuarios reconsiderar la importancia y necesidad de cada extensión que hayan instalado o planeen instalar.