Las extensiones instaladas en casi un millón de dispositivos han estado
anulando protecciones de seguridad clave para convertir los navegadores en
motores que rastrean sitios web (scraping) en nombre de un servicio de
pago.
Según
informó John Tuckner, de SecurityAnnex, las 245 extensiones, disponibles para Chrome, Firefox y
Edge, han acumulado casi 909.000 descargas. Las extensiones cumplen una amplia
gama de funciones, como la gestión de marcadores y portapapeles, la subida del
volumen de los altavoces y la generación de números aleatorios. El denominador
común de todas ellas es que incorporan
MellowTel-js, una biblioteca JavaScript de código abierto que permite a los
desarrolladores monetizar sus extensiones.
Debilitamiento intencional de las protecciones de navegación
Tuckner afirma que la monetización funciona mediante el uso de las extensiones
del navegador para rastrear sitios web en nombre de clientes de pago, entre
los que se incluyen los anunciantes. Tuckner llegó a esta conclusión tras
descubrir estrechos vínculos entre MellowTel y
Olostep,
una empresa que se autoproclama como
«la API de scraping web más fiable y rentable del mundo». Olostep
afirma que su servicio
«evita la detección de bots y puede paralelizar hasta 100.000 solicitudes
en minutos». Los clientes de pago envían la ubicación de los navegadores que desean para
acceder a páginas web específicas. Olostep utiliza su base instalada de
usuarios de extensiones para procesar la solicitud.
«Esto parece muy similar a las instrucciones de scraping que vimos al
observar la biblioteca de MellowTel en acción», escribió Tuckner tras analizar el código de MellowTel.
«Creo que tenemos buenas razones para pensar que las solicitudes de
scraping de Olostep se distribuyen a cualquiera de las extensiones activas
que ejecutan la biblioteca de MellowTel».
El fundador de MellowTel, por su parte, ha afirmado que el propósito de la
biblioteca es
«compartir el ancho de banda de los usuarios (sin saturar enlaces de
afiliados, anuncios no relacionados ni tener que recopilar datos
personales)». Continuó afirmando que la principal razón por la que las empresas pagan por
el tráfico es acceder a datos públicos de sitios web de forma fiable y
rentable. El fundador afirmó que los desarrolladores de extensiones reciben el
55% de los ingresos y MellowTel se queda con el resto.
A pesar de las garantías, Tuckner afirmó que
las extensiones que incorporan MellowTel suponen un riesgo para los
usuarios que las instalan.
Una razón es que MellowTel activa un websocket que se conecta a un
servidor de AWS que recopila la ubicación, el ancho de banda disponible, y el
estado de los usuarios de la extensión. Además de la erosión de la privacidad,
el websocket también inyecta un iframe oculto en la página que
el usuario está viendo, que conecta con una lista de sitios web especificados
por el servidor de Amazon Web Services. Es imposible que los usuarios finales
comunes puedan determinar qué sitios se abren en el iframe invisible.
Tuckner escribió:
«¿No debería haber protecciones para evitar que esto suceda? ¿Cómo es
posible cargar contenido no deseado tan fácilmente en cualquier sitio
web?»
Normalmente existen protecciones para evitar este tipo de ataques: los
encabezados de seguridad comunes de los servidores web, como
Content-Security-Policy y X-Frame-Options, deberían evitarlo
pero la biblioteca modifica dinámicamente las reglas que eliminan los
encabezados de seguridad de las respuestas del servidor web y luego los
vuelven a añadir una vez cargada la página web.
«Este debilitamiento de la navegación web puede exponer a los usuarios a
ataques como el Cross-site Scripting, que normalmente se evitarían en
condiciones normales. No solo los usuarios se convierten en bots
involuntariamente, sino que su navegación web también es más vulnerable», dijo Tuckner.
MellowTel también es problemático porque los sitios que abre son desconocidos
para los usuarios finales. Esto significa que deben confiar en MellowTel para
verificar la seguridad y confiabilidad de cada sitio al que acceden. Y, por
supuesto, dicha seguridad y confiabilidad pueden cambiar con un solo ataque a
un sitio. MellowTel también representa un riesgo para las redes empresariales
que restringen estrictamente los tipos de código que los usuarios pueden
ejecutar y los sitios que visitan.
El descubrimiento de Tuckner recuerda a un análisis de 2019 que descubrió que
las extensiones de navegador instaladas en 4 millones de navegadores
recopilaban todos los movimientos de los usuarios en la web y los compartían
con los clientes de Nacho Analytics, que dejó de operar poco después de que
Ars revelara la operación.
Algunos de los datos recuperados incluían videos de vigilancia alojados en
Nest, declaraciones de impuestos, facturas, documentos comerciales y
diapositivas de presentaciones publicadas o alojadas en Microsoft OneDrive e
Intuit.com; números de identificación vehicular de automóviles recientemente
adquiridos, junto con los nombres y direcciones de los compradores, nombres de
los pacientes y los médicos que consultaron; itinerarios de viaje alojados en
Priceline, Booking y sitios web de aerolíneas; archivos adjuntos de Facebook
Messenger y fotos, incluso cuando estas fotos estaban configuradas como
privadas. La información incluía información confidencial de Tesla, Blue
Origin, Amgen, Merck, Pfizer, Roche y docenas de otras empresas.
Tuckner declaró en un correo electrónico el miércoles que el estado más
reciente de las extensiones afectadas es:
-
De las 45 extensiones de Chrome conocidas, 12 están inactivas. Algunas
extensiones se eliminaron explícitamente por malware. Otras han eliminado la
biblioteca. -
De las 129 extensiones de Edge que incorporan la biblioteca, ocho están
inactivas. -
De las 71 extensiones de Firefox afectadas, dos están inactivas. Algunas se
eliminaron explícitamente por malware. - Otras eliminaron la biblioteca en actualizaciones más recientes.
Fuente:
ArsTechnica
|
John Tuckner