Uma falha de segurança agora corrigida no navegador Opera poderia ter permitido que uma extensão maliciosa ganhasse acesso não autorizado e completo às APIs privadas.
O ataque, batizado de CrossBarking, poderia ter possibilitado a realização de ações como capturar screenshots, modificar configurações do navegador e sequestro de contas, disse a Guardio Labs.
Para demonstrar o problema, a empresa disse que conseguiu publicar uma extensão de navegador aparentemente inofensiva na Chrome Web Store que poderia então explorar a falha quando instalada no Opera, sendo um exemplo de ataque cross-browser-store.
"Este estudo de caso não só destaca o embate perene entre produtividade e segurança, mas também fornece um vislumbre fascinante sobre as táticas usadas pelos modernos agentes de ameaças operando logo abaixo do radar", disse Nati Tal, chefe da Guardio Labs, em um relatório compartilhado.
A questão foi abordada pela Opera em 24 de setembro de 2024, seguindo uma divulgação responsável.
Dito isso, esta não é a primeira vez que falhas de segurança foram identificadas no navegador.
Em janeiro anterior, detalhes surgiram de uma vulnerabilidade rastreada como MyFlaw que aproveita uma característica legítima chamada My Flow para executar qualquer arquivo no sistema operacional subjacente.
A última técnica de ataque se baseia no fato de que vários subdomínios de propriedade da Opera e acessíveis ao público têm acesso privilegiado às APIs privadas embutidas no navegador.
Esses domínios são usados para suportar recursos específicos da Opera como Opera Wallet, Pinboard e outros, bem como aqueles utilizados no desenvolvimento interno.
Os nomes de alguns dos domínios, que também incluem certos domínios de terceiros, estão listados abaixo:
crypto-corner.op-test.net
op-test.net
gxc.gg
opera.atlassian.net
pinboard.opera.com
instagram.com
yandex.com
Embora a sandboxing assegure que o contexto do navegador permaneça isolado do restante do sistema operacional, a pesquisa da Guardio descobriu que scripts de conteúdo presentes dentro de uma extensão de navegador poderiam ser usados para injetar JavaScript malicioso nos domínios excessivamente permissivos e ganhar acesso às APIs privadas.
"O script de conteúdo tem acesso ao DOM (Modelo de Objeto de Documento)", explicou Tal.
Isso inclui a capacidade de mudá-lo dinamicamente, especificamente adicionando novos elementos. Armados com esse acesso, um atacante poderia tirar screenshots de todas as abas abertas, extrair cookies de sessão para sequestrar contas e até modificar as configurações de DNS-over-HTTPS (DoH) de um navegador para resolver domínios através de um servidor DNS controlado pelo atacante.
Isso poderia então preparar o terreno para ataques adversários no meio (AitM) potentes quando as vítimas tentassem visitar sites bancários ou de redes sociais, redirecionando-os para seus equivalentes maliciosos.
A extensão maliciosa, por sua parte, poderia ser publicada como algo inocente em qualquer um dos catálogos de complementos, incluindo a Google Chrome Web Store, de onde os usuários poderiam baixar e adicioná-la aos seus navegadores, efetivamente desencadeando o ataque.
No entanto, requer permissão para executar JavaScript em qualquer página da web, particularmente nos domínios que têm acesso às APIs privadas.
Com extensões de navegador maliciosas infiltrando-se repetidamente nas lojas oficiais, sem mencionar algumas legítimas que faltam transparência em suas práticas de coleta de dados, os resultados sublinham a necessidade de cautela antes de instalá-las.
"As extensões de navegador possuem um poder considerável — para o bem ou para o mal", disse Tal.
Como tal, os responsáveis pela política devem monitorá-las rigorosamente. O modelo de revisão atual é insuficiente; recomendamos reforçá-lo com mais mão de obra e métodos de análise contínua que monitoram a atividade de uma extensão mesmo após a aprovação.
Além disso, a aplicação da verificação de identidade real para contas de desenvolvedores é crucial, então simplesmente usar um e-mail gratuito e um cartão de crédito pré-pago é insuficiente para o registro.
A vulnerabilidade em questão foi descoberta como parte de nosso trabalho contínuo com pesquisadores terceirizados para identificar falhas de segurança e corrigi-las antes que tivessem a chance de ser exploradas por agentes maliciosos.
A divulgação responsável é uma prática recomendada em cibersegurança, ajudando os fornecedores de software a permanecerem à frente das ameaças e permitindo que os pesquisadores sensibilizem sobre essas questões importantes.
É importante notar que a vulnerabilidade identificada pela Guardio poderia colocar um usuário em risco de ataque se ele fosse enganado para instalar uma extensão maliciosa de fora da Loja de Add-ons do Opera.
A extensão que a Guardio desenvolveu para realizar o ataque foi hospedada em uma loja de terceiros porque a Loja de Add-ons do Opera aplica uma revisão manual exclusiva de todas as extensões hospedadas nela, especificamente para impedir que tais extensões maliciosas cheguem aos usuários.
Isso destaca a importância de um processo de revisão robusto, mas também de uma infraestrutura segura nas lojas de extensões de navegador, e o poder que as extensões podem exercer.
Não há evidências de que este cenário específico tenha ocorrido de fato, e, segundo nosso e o conhecimento da Guardio, nenhum usuário da Opera foi de fato submetido a este ataque.
Gostaríamos de agradecer à equipe da Guardio por esta colaboração, que demonstra como a divulgação responsável é uma peça chave do quebra-cabeça da segurança de software e ajuda a manter os usuários seguros.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...