kreizihorse - Fotolia
La falla de Google Chrome pone en riesgo la privacidad
El investigador de seguridad de Imperva insta a los usuarios de Google Chrome a actualizar a la última versión, después de descubrir una vulnerabilidad que podría ser explotada para extraer datos privados.
Una vulnerabilidad de seguridad en Google Chrome y todos los navegadores que ejecutan el motor del navegador Blink podría permitir a los actores maliciosos descubrir datos privados en Facebook y otras plataformas, advirtió un investigador de seguridad.
"Los atacantes podrían establecer la edad o el género exactos de una persona, ya que [la información] se guarda en Facebook, independientemente de su configuración de privacidad", dijo Ron Masas, investigador de la empresa de seguridad Imperva.
Según Masas, un potencial atacante podría usar la metodología de canal lateral para abusar de las funciones de filtrado en los sitios web para deducir información como edad, sexo, ‘me gusta’ e historial de ubicación de un usuario de Facebook, por ejemplo, utilizando etiquetas HTML de audio y video para generar solicitudes al sitio de destino y luego monitorear los eventos de progreso generados por estas solicitudes.
Esto significa que un atacante podría "hacer" una serie de preguntas sobre el navegador. "Por ejemplo, un actor malo puede crear publicaciones considerables de Facebook para cada edad posible, utilizando la opción Restricción de la Audiencia, lo que hace que Facebook refleje la edad del usuario a través del tamaño de la respuesta", escribió en una publicación de su blog.
Un tamaño grande de respuesta indicaría que la restricción no se aplica, mientras que las pequeñas indicarían que el contenido estaba restringido, lo que muestra que un usuario en particular es de una edad o género no permitido.
"Con varios scripts ejecutándose a la vez, cada uno probando una restricción diferente y única, el atacante puede extraer una cantidad relativamente buena de datos privados sobre el usuario", dijo Masas.
Si el atacante ejecutara un script de ataque en un sitio que requiere el registro por correo electrónico, como un sitio de comercio electrónico, el atacante podría correlacionar los datos privados con la dirección de correo electrónico de inicio de sesión para un perfil aún más extenso e intrusivo, agregó.
"Cuando un usuario visita el sitio del atacante, el sitio inyecta múltiples etiquetas ocultas de audio o video que solicitan un número de publicaciones en Facebook que el atacante publicó previamente y restringió utilizando diferentes técnicas", dijo Masas. "El atacante entonces puede analizar cada solicitud para indicar, por ejemplo, la edad exacta del usuario, ya que se guarda en Facebook, independientemente de su configuración de privacidad".
Imperva informó la vulnerabilidad a Google, que respondió parcheando la vulnerabilidad en la versión 68 de Chrome.
"Recomendamos mucho que todos los usuarios de Chrome se aseguren de que estén ejecutando la última versión", dijo Masas.