Navegadores filtran lista de extensiones instaladas a sitios web

Esta información podría estilarse para atacar extensiones específicas o acoger información del dispositivo y del comportamiento del becario.

Las vulnerabilidades están a la orden del día en los navegadores web. Una fresco investigación de la asociación USENIX ha revelado que los navegadores modernos están comprometiendo a los usuarios y su privacidad (vía gHacks).

Los navegadores basados en Chromium y Firefox, encima de Microsoft Edge, facilitan la filtración de extensiones instaladas a los sitios web, información que puede estilarse para atacar extensiones específicas, por su popularidad, o acoger información del dispositivo o del comportamiento del becario.

Según detalla la investigación, aunque los navegadores protegen los datos de las extensiones para no ser accedidos por sitios web estableciendo el ataque privado por defecto a sus posibles, los atacantes pueden usar una técnica que les permitirá memorizar de forma indirecta cuáles extensiones están instaladas.

El llamado “ataque de canal lateral de tiempo” consiste en solicitar ataque a los posibles de una extensión para monitorear las dos revisiones que realiza el navegador: una para determinar si la extensión está instalada y otra para memorizar si el petición al que quiere consentir el sitio web es accesible públicamente.

Los atacantes monitorean el tiempo de respuesta del navegador permitiéndoles memorizar en cuánto tiempo rebate a una solicitud con información de una extensión falsa con un petición inexacto y en cuánto con datos de una extensión acondicionado con un directorio inexacto.

Luego, el tiempo es comparado para obtener, mediante un método recursivo, la inventario de extensiones instaladas con un 100% de efectividad, de acuerdo con los investigadores.

Ya que cualquier posible ataque con la información obtenida podría perpetrarse mediante un script, es posible evitarlo mediante la instalación de una extensión que bloquee scripts, como uBlock, uMatrix y NoScript.


Source link

deja tu opinion

Seguinos

Tecnoblog en las redes sociales