La próxima semana tendrá lugar otra nueva edición de la Conferencia de Seguridad Black Hat en Las Vegas, por la que entre otros se pasará Jeremiah Grossman, el CTO de White Hat Security, quien ya ha anunciado que va a repartir estopa a base de bien a los cuatro principales navegadores web de la actualidad.

Concretamente en su conferencia va a mostrar que tanto Internet Explorer como Firefox, Google Chrome y Safari tienen serias fallas de seguridad (no en todas sus versiones) que permiten a un atacante hacerse con toda clase de información personal del usuario, desde contraseñas hasta direcciones de correo o la localización. Según se ha podido saber ya los más afectado son Safari 4 y 5 y Internet Explorer 6 y 7, pero como digo Chrome y Firefox tampoco se libran.

¿Y en qué consiste el fallo? Pues bueno, ha encontrado varios, pero el problema principal está en los formularios web y como gestionan la información introducida en los mismos IE 6 y 7 y Safari 4 y 5. De manera resumida un atacante, aprovechando la función autocompletar, podría incluir campos invisibles en un formulario y un pequeño código JavaScript que iría probando caracteres al azar hasta que encontrara aquellos que el propio navegador autocompletara, momento en el que los datos serían enviados a donde el atacante quisiera (sin enterarse de nada el que está visitando la web). En el caso de Chrome y Firefox este experto en seguridad asegura haber encontrado otras dos vulnerabilidades que también permiten robar datos gracias al sistema de autocompletado de ambos navegadores.

Lo peor de todo esto no son las vulnerabilidades en sí mismas, todos los softwares tienen cientos de ellas y solamente es cuestión de encontrarlas, sino la estúpida política que muchas grandes empresas siguen respecto a seguridad: suelen ignorar las advertencias que provienen de geste externa. Justamente esto le pasó a Jeremiah Grossman y por eso va hacer públicos sus hallazgos en la próxima Black Hat, de lo cual me alegro ya que será la única manera de que solucionen las fallas.

Participa en la conversación

31 Comentarios

Deja tu comentario

  1. Yo, por instinto, siempre lo he tenido desactivado en todos los navegadores, porque ya solo que otra persona utilice el PC podría usarlo. Con java script… estamos apañaos!!

  2. pues yo desactive la opción autorrelleno en safari desde la versión 3

    espero que este problema sea solucionado pronto.

  3. Esa función de autocompletar siempre ha sido vulnerable. Yo siempre la desactivo, además porque me hace cometer errores, debido a la velocidad a la que voy navegando entre varias páginas abiertas…

  4. jajaja sigan usando esos navegadores… por algo Opera no tiene autocompletar, sino que tienes que apretar un botón para ingresar con tus datos

    1. De igual manera el navegador tiene guardados los datos no? de igual manera puede crear un JS que ejecute la accion de ese boton asi que no se queda atras

      1. Si, y de paso JavaScript va a hacerte la comida… el marco de trabajo de JavaScript es muy reducido, eso de «SIMULAR EL BOTÓN» no sería posible

  5. Supongo que omitieron a Opera porque es muy similar, por no decir igualito, a IE. La pregunta que tengo es ¿Va a hacer una demostración en vivo de cómo se hará o simplemente será un regaño (puro bla bla bla falla esto bla bla bla falla aquello)?

    Espero que muestre algo en vivo, una imagen (o video) valen más que mil palabras.

    1. Hay que tener los cojones cuadrados para comparar IE al Opera… pero cuadraos cuadraos.. Mucho love.

  6. No sería mejor que se hicieran mas popular el uso de Firewall. En base a hardware y no a software. Yo tengo un router con fireware y (creo) es bastante seguro.

    1. En este caso no te protegería en nada el Firewall porque la info la manda y recibe el mismo navegador, el cual tiene los puertos del Firewall abiertos (de otro modo no podrías ver ningún sitio)

    2. No tenes ni palida idea de lo que hablas. Ni siquiera discernis bien entre firewall, firmware y firewire….

      El primero es un software de control de conecciones por restriccion de un sistema, el segundo es un programa de instrucciones sencillas y de proposito especifico grabado en una memoria no volatil, y el tercero es un tipo de puerto popularizado por las mac.

      Si un software no permite actualizaciones, es un fiasco, es util para un router como base de seguridad, pero estas mas desprotegido de lo que crees, puesto que el tunneling supero ya esas barreras.

      Saludos cordiales, una simple voz en la oscuridad.

    1. «a los cuatro principales navegadores web de la actualidad»… ¿Como será el tema…? u Opera no está dentro de los principales, o no tiene este tipo de fallos comprobables.

      1. Me alegro de no tener noticias. Tal como si fuera el gato de Schrödinger en su caja, mi Opera sigue siendo isnesgeugruoro.

        Es obvio que no esta dentro de los primeros, la gente es muy terca como para probar lo que no le da en bandeja.

        Saludos cordiales, una simple voz en la oscuridad.