Uma falha de segurança agora corrigida no navegador Opera pode ter permitido que uma extensão maliciosa obtivesse acesso whole e não autorizado a APIs privadas.
O ataque, codinome CrossBarkingpoderia ter possibilitado a realização de ações como captura de tela, modificação de configurações do navegador e sequestro de conta, disse Guardio Labs.
Para demonstrar o problema, a empresa disse que conseguiu publicar uma extensão de navegador aparentemente inofensiva na Chrome Internet Retailer que poderia então explorar a falha quando instalada no Opera, tornando-se um exemplo de ataque entre lojas de navegadores.
“Este estudo de caso não apenas destaca o conflito perene entre produtividade e segurança, mas também fornece uma visão fascinante das táticas usadas pelos atores de ameaças modernos que operam brand abaixo do radar”, disse Nati Tal, chefe do Guardio Labs, em um relatório compartilhado com o The Notícias sobre hackers.
O problema foi resolvido pela Opera a partir de 24 de setembro de 2024, após divulgação responsável. Dito isto, esta não é a primeira vez que falhas de segurança são identificadas no navegador.
No início de janeiro, surgiram detalhes de uma vulnerabilidade rastreada como MyFlaw que aproveita um recurso legítimo chamado My Circulation para executar qualquer arquivo no sistema operacional subjacente.
A técnica de ataque mais recente depende do fato de que vários subdomínios acessíveis ao público de propriedade do Opera têm acesso privilegiado a APIs privadas incorporadas no navegador. Esses domínios são usados para oferecer suporte a recursos específicos do Opera, como Opera Pockets, Pinboard e outros, bem como aqueles usados no desenvolvimento interno.
Os nomes de alguns dos domínios, que também incluem determinados domínios de terceiros, estão listados abaixo –
- crypto-corner.op-test.web
- op-test.web
- gxc.gg
- ópera.atlassian.web
- pinboard.opera.com
- instagram.com
- yandex.com
Embora o sandboxing garanta que o contexto do navegador permaneça isolado do resto do sistema operacional, a pesquisa da Guardio descobriu que os scripts de conteúdo presentes em uma extensão do navegador podem ser usados para injetar JavaScript malicioso em domínios excessivamente permissivos e obter acesso às APIs privadas.
“O script de conteúdo tem acesso ao DOM (Doc Object Mannequin)”, explicou Tal. “Isso inclui a capacidade de alterá-lo dinamicamente, especificamente adicionando novos elementos.”
Armado com esse acesso, um invasor pode fazer capturas de tela de todas as guias abertas, extrair cookies de sessão para sequestrar contas e até mesmo modificar as configurações de DNS sobre HTTPS (DoH) de um navegador para resolver domínios por meio de um servidor DNS controlado pelo invasor.
Isso poderia então preparar o terreno para ataques potentes de adversário no meio (AitM), quando as vítimas tentam visitar bancos ou websites de mídia social, redirecionando-os para seus equivalentes maliciosos.
A extensão maliciosa, por sua vez, poderia ser publicada como algo inócuo em qualquer um dos catálogos de complementos, incluindo a Google Chrome Internet Retailer, de onde os usuários poderiam baixá-la e adicioná-la aos seus navegadores, desencadeando efetivamente o ataque. No entanto, requer permissão para executar JavaScript em qualquer página da internet, especialmente nos domínios que têm acesso às APIs privadas.
Com extensões de navegador fraudulentas infiltrando-se repetidamente nas lojas oficiais, para não mencionar algumas extensões legítimas que carecem de transparência nas suas práticas de recolha de dados, as descobertas sublinham a necessidade de cautela antes de as instalar.
“As extensões do navegador exercem um poder considerável – para o bem ou para o mal”, disse Tal. “Como tal, os responsáveis pela aplicação da política devem monitorá-los rigorosamente”.
“O modelo de revisão atual é insuficiente; recomendamos reforçá-lo com mão de obra adicional e métodos de análise contínua que monitorem a atividade de uma extensão, mesmo após a aprovação. Além disso, impor a verificação de identidade actual para contas de desenvolvedor é essential, simplesmente usando um e-mail gratuito e um pré-pago cartão de crédito é insuficiente para registro.”