La próxima semana tendrá lugar otra nueva edición de la Conferencia de Seguridad Black Hat en Las Vegas, por la que entre otros se pasará Jeremiah Grossman, el CTO de White Hat Security, quien ya ha anunciado que va a repartir estopa a base de bien a los cuatro principales navegadores web de la actualidad.
Concretamente en su conferencia va a mostrar que tanto Internet Explorer como Firefox, Chrome y Safire tienen serias fallas de seguridad (no en todas sus versiones) que permiten a un atacante hacerse con toda clase de información personal del usuario, desde contraseñas hasta direcciones de correo o la localización. Según se ha podido saber ya los más afectado son Safari 4 y 5 y Internet Explorer 6 y 7, pero como digo Chrome y Firefox tampoco se libran.
¿Y en qué consiste el fallo? Pues bueno, ha encontrado varios, pero el problema principal está en los formularios web y como gestionan la información introducida en los mismos IE 6 y 7 y Safari 4 y 5. De manera resumida un atacante, aprovechando la función autocompletar, podría incluir campos invisibles en un formulario y un pequeño código JavaScript que iría probando caracteres al azar hasta que encontrara aquellos que el propio navegador autocompletara, momento en el que los datos serían enviados a donde el atacante quisiera (sin enterarse de nada el que está visitando la web). En el caso de Chrome y Firefox este experto en seguridad asegura haber encontrado otras dos vulnerabilidades que también permiten robar datos gracias al sistema de autocompletado de ambos navegadores.
Lo peor de todo esto no son las vulnerabilidades en sí mismas, todos los softwares tienen cientos de ellas y solamente es cuestión de encontrarlas, sino la estúpida política que muchas grandes empresas tienen respecto a seguridad: suelen ignorar las advertencias que provienen de geste externa. Justamente esto le pasó a Jeremiah Grossman y por eso va hacer públicos sus hallazgos en la próxima Black Hat, de lo cual me alegro ya que será la única manera de que solucionen las fallas.
Concretamente en su conferencia va a mostrar que tanto Internet Explorer como Firefox, Chrome y Safire tienen serias fallas de seguridad (no en todas sus versiones) que permiten a un atacante hacerse con toda clase de información personal del usuario, desde contraseñas hasta direcciones de correo o la localización. Según se ha podido saber ya los más afectado son Safari 4 y 5 y Internet Explorer 6 y 7, pero como digo Chrome y Firefox tampoco se libran.
¿Y en qué consiste el fallo? Pues bueno, ha encontrado varios, pero el problema principal está en los formularios web y como gestionan la información introducida en los mismos IE 6 y 7 y Safari 4 y 5. De manera resumida un atacante, aprovechando la función autocompletar, podría incluir campos invisibles en un formulario y un pequeño código JavaScript que iría probando caracteres al azar hasta que encontrara aquellos que el propio navegador autocompletara, momento en el que los datos serían enviados a donde el atacante quisiera (sin enterarse de nada el que está visitando la web). En el caso de Chrome y Firefox este experto en seguridad asegura haber encontrado otras dos vulnerabilidades que también permiten robar datos gracias al sistema de autocompletado de ambos navegadores.
Lo peor de todo esto no son las vulnerabilidades en sí mismas, todos los softwares tienen cientos de ellas y solamente es cuestión de encontrarlas, sino la estúpida política que muchas grandes empresas tienen respecto a seguridad: suelen ignorar las advertencias que provienen de geste externa. Justamente esto le pasó a Jeremiah Grossman y por eso va hacer públicos sus hallazgos en la próxima Black Hat, de lo cual me alegro ya que será la única manera de que solucionen las fallas.
Artículo original en alt1040
