CrossBarking: cómo las extensiones inofensivas convierten a Opera en el espía perfecto

En el navegador Opera se ha descubierto una vulnerabilidad que permitía a extensiones maliciosas obtener acceso no autorizado a API privadas. Según informó Guardio Labs, la vulnerabilidad, denominada CrossBarking, podría permitir a los atacantes tomar capturas de pantalla, cambiar la configuración del navegador y capturar cuentas de usuario.

Los especialistas de Guardio Labs demostraron el problema publicando una extensión aparentemente inofensiva en Chrome Web Store. Al instalarse en el navegador Opera, esta extensión utilizaba la vulnerabilidad, convirtiendo el ataque en inter-navegador. Este caso destaca el conflicto entre comodidad y seguridad, así como la forma en que las amenazas modernas pueden utilizar métodos ocultos, comentó el jefe de Guardio Labs, Nati Tal.

La vulnerabilidad fue solucionada por Opera el 24 de septiembre de 2024, después de que los desarrolladores fueran informados de la amenaza. Sin embargo, no es la primera vez que se encuentran vulnerabilidades en este navegador. A principios de año se identificó otro problema, relacionado con la función My Flow, que permitía ejecutar archivos en el sistema operativo.

El método principal de ataque se basa en el hecho de que algunos subdominios de Opera tienen acceso privilegiado a las API privadas integradas en el navegador. Estos subdominios, como Opera Wallet y Pinboard, también se utilizan para desarrollos internos. Guardio Labs descubrió que los scripts de contenido en las extensiones del navegador pueden inyectar JavaScript malicioso en subdominios con derechos de acceso excesivos y, de este modo, obtener acceso a las API.

Dicho acceso permite a los atacantes realizar capturas de pantalla, extraer cookies de sesión para capturar cuentas y hasta cambiar la configuración de DNS del navegador, redirigiendo a los usuarios a servidores DNS controlados. Esto abre la posibilidad de ataques "man-in-the-middle", en los que las víctimas pueden ser redirigidas a sitios falsos de bancos y redes sociales.

La extensión podría haber sido cargada en cualquiera de los catálogos de complementos, incluido Chrome Web Store, y con permiso para ejecutar JavaScript lanzar un ataque en dominios específicos con acceso a la API. Guardio Labs subraya la importancia de tener precaución al instalar extensiones, especialmente considerando que las tiendas oficiales a menudo se convierten en una plataforma para programas maliciosos.

Guardio Labs también señaló que el poder de las extensiones del navegador puede ser peligroso y que se necesita un control más estricto para proteger a los usuarios. Para ello, proponen no solo fortalecer el proceso de verificación, sino también exigir la identificación real de los desarrolladores para evitar el registro de cuentas utilizando correos electrónicos gratuitos y tarjetas prepagas.