Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Vulnerabilidad en Opera GX permitía a sitios maliciosos instalar mods automáticamente para robar datos de las páginas visitadas


Investigadores descubrieron una vulnerabilidad crítica en Opera GX que permitía a sitios maliciosos instalar complementos sin consentimiento del usuario. Mediante la inyección de CSS, los atacantes podían robar datos privados, como direcciones de Gmail, sin necesidad de clics. Opera ya ha corregido este fallo en la versión 130.0.5847.89 y no hay evidencia de que haya sido explotado masivamente.





Unos investigadores encontraron un fallo en Opera GX, la versión de Opera enfocada en el gaming, que permitía que un sitio web malicioso instalara silenciosamente un complemento del navegador y lo usara para extraer datos específicos de las páginas que visitas.

En una prueba de concepto, reconstruyeron la dirección completa de Gmail de un usuario conectado a partir de una sola visita, sin necesidad de hacer clic. Opera ya ha parcheado el fallo y afirma que no ha encontrado pruebas de que se haya utilizado en el mundo real.

La corrección se incluyó en la versión 130.0.0.5847.89 de Opera GX, por lo que si estás usando una compilación actual, ya estás protegido; puedes confirmarlo en opera://about. No existe un CVE asignado.

Debido a que el ataque no requería clics ni aprobaciones, no había una solución alternativa más allá del parche. El equipo de recompensas por errores de Opera calificó el problema como P1, su severidad más alta, y pagó la recompensa máxima de 5.000 dólares por un error crítico.


Cómo funciona el ataque



Los GX Mods te permiten cambiar la apariencia de Opera GX con sonidos, temas, fondos de pantalla y CSS personalizados que cambian el estilo de los sitios que visitas. Se distribuyen como archivos .crx, similares a las extensiones del navegador, pero no pueden ejecutar JavaScript ni tienen permisos.

La debilidad reside en cómo se instalan: el sistema de mods de Opera descarga y activa un mod automáticamente, sin pedir aprobación. Así, una página maliciosa puede instalar uno silenciosamente, por ejemplo, cargando un iframe oculto que apunte a un archivo .crx.

La única señal es una barra de notificación debajo de la barra de direcciones que te avisa que se ha añadido un mod, con un botón de eliminar.

Este comportamiento de auto-instalación no es nuevo. El investigador Renwa lo identificó en 2023 en este enlace y, al elevar un mod instalado a una extensión completa, lo utilizó para suplantar la barra de direcciones del navegador. Opera parcheó ese ataque específico en marzo de 2023, pero dejó intacta la auto-instalación subyacente, que es la base de esta nueva investigación.

Un mod silencioso de apariencia parece inofensivo por sí solo. Pero el CSS de un mod se aplica a cada página que visitas, no solo a una. La inyección de CSS ordinaria se limita a la página donde aterriza; aquí, el estilo del atacante llega a cada sitio que abre el navegador, una técnica que los investigadores llaman inyección de CSS universal.

El CSS no puede leer una página y enviarla por sí solo. Pero puede ser inducido a filtrar un valor pieza por pieza. El truco se basa en los selectores de atributos: una regla puede probar si el valor de un atributo de un elemento, como un correo electrónico oculto en un campo, comienza con una letra determinada, y solicitar una imagen de fondo del servidor del atacante solo cuando sea así. Al disparar suficientes reglas de este tipo, puedes conocer el valor carácter por carácter.

Los investigadores llaman a esto un XS-Leak, abreviatura de filtración cruzada de sitios. Para extraer una dirección de Gmail, los investigadores dirigieron esto a una página de cuenta de Google, myaccount.google.com/contactemail, que contiene la dirección dentro de tres de sus atributos HTML.



Equiparon un mod con aproximadamente 150.000 reglas de CSS, un conjunto para cada pieza posible de tres letras de la dirección, y dejaron que un script de reconstrucción uniera las coincidencias. Primero probaron con piezas de cuatro letras, que requerían 5,6 millones de reglas y unos 880 MB de CSS, pero el navegador se bloqueó, por lo que redujeron el tamaño a fragmentos de tres letras que se solapan lo suficiente para ser reensamblados.

Encadenarlo todo fue muy sencillo. Llegas a la página del atacante, el mod se instala en segundos y unas líneas de JavaScript redirigen el navegador a la página de cuenta de Google. El CSS del mod ya está cargado allí, por lo que dispara las solicitudes y filtra la dirección mientras la página se renderiza, antes de que puedas llegar al botón de eliminar de la notificación.

La dirección de Gmail fue solo la prueba de concepto; el mismo enfoque puede extraer otros valores que una página expone en su marcado, como un nombre de usuario.

La misma ruta de auto-instalación tiene un segundo uso más rudimentario que los investigadores documentaron: cargar un .crx mientras estás en modo privado (Incógnito) provoca que el navegador se cierre inesperadamente y se pierdan todas las pestañas abiertas. Esto también afecta al Opera normal, no solo al GX, ya que cualquier .crx activa el proceso de instalación de extensiones, independientemente de su contenido. El aviso de Opera se centra en la corrección del robo de datos y no menciona el cierre del navegador.


Severidad y el panorama general



El informe casi no recibe la atención debida. Opera gestiona su programa de recompensas en Bugcrowd, y los analistas de triaje tuvieron dificultades para comprender qué hacía el error, calificándolo inicialmente como un P3 medio.

Los investigadores presentaron su caso de una manera inusualmente directa: mientras un analista reproducía el ataque, capturaron los trigramas del propio analista, reconstruyeron su dirección de Gmail y la pegaron en el informe. El equipo de Opera elevó entonces la severidad a P1 y pagó el máximo de 5.000 dólares para el nivel crítico.

La versión de Opera es más moderada. En su aviso de seguridad, la empresa dice estar "bastante segura" de que el fallo nunca fue explotado en el mundo real y describe el ataque como complicado de ejecutar: la víctima tendría que aterrizar en un sitio malicioso, terminar con un mod nuevo e ignorar el aviso de eliminación el tiempo suficiente para que se active la redirección.

La demo de los investigadores es la contraparte. Su redirección se ejecuta en los segundos previos a que el usuario pueda siquiera leer el aviso, y mucho menos hacer clic en eliminar. Fue un ataque preciso y complejo que Opera no encontró en la naturaleza, pero que aun así funcionaba con cero clics una vez configurado.

El riesgo aquí nunca fue la función cosmética en sí misma, sino el alcance. Una vez que el CSS de un mod podía seguirte de un sitio a otro, el "simple estilo" resultó ser más que suficiente.

Ese es el giro de una idea familiar: el robo basado solo en CSS suele quedar atrapado en la página donde se inyecta, como en la investigación de Blind CSS Exfiltration de PortSwigger, pero aquí acompañaba al usuario en cada sitio que abría.

Tampoco es la primera función de Opera que se vuelve contra sus usuarios; Opera ya había sido advertida sobre este comportamiento de auto-instalación desde 2023.

Fuente:
THN

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.