Falla de seguridad en Chrome permite sustituir el contenido del portapapeles sin previa autorización

02 Septiembre 2022
Alto

El desarrollador, Jeff Johnson, recientemente ha descubierto una falla que se introdujo accidentalmente en la versión 104 de Google Chrome. El problema de seguridad del navegador permite que las páginas web maliciosas puedan “sobreescribir” de forma automática, sin el consentimiento del usuario, el contenido que ellos quieran en el  portapapeles del usuario.

 

¿Cómo se logra sobreescribir el contenido del portapapeles?

 

Lo que actualmente permite la falla de seguridad es sustituir los datos que se tienen en el portapapeles sin obtener previamente los permisos del usuario y sin que este se de cuenta. Por ejemplo, un sitio malicioso especialmente diseñado podría atraer a un usuario a entrar a dicha página y “tomar” el contenido que este tenga en su portapapeles (contraseñas, credenciales bancarias, etc) y cambiarlo por un texto o contenido que ellos decidan.

El investigador Jeff, en su blog, facilitó un sitio web que prueba si tu navegador es vulnerable a esta falla. Solo debes entrar al sitio web “Webplatform News”  y verificar el contenido del portapapeles, si tu navegador es vulnerable, en tu portapapeles se encontrará el siguiente texto:

 

“Hola, este mensaje está en su portapapeles porque visitó el sitio web Web Platform News en un navegador que permite que los sitios web escriban en el portapapeles sin el permiso del usuario. Lo siento por los inconvenientes ocasionados. Para obtener más información sobre este problema, consulte https://github.com/w3c/clipboard-apis/issues/182”

 

Junto a esto, Johnson, entrega más información sobre cómo esto sucede sin que el usuario se de cuenta. El investigador descubrió que no es necesario que el usuario digite la combinación de teclado “Ctrl+c” en su dispositivo, sino que hay una serie de gestos o interacciones que son suficientes para que se le de permiso a una página web para usar la API del portapapeles.

  • Hacer clic
  • Copiar
  • Corte
  • Enfoque
  • Pulsación de tecla
  • Tecla Arriba
  • Ratón hacia abajo
  • Ratón arriba
  • Puntero hacia abajo (sólo escritorio)
  • Puntero hacia arriba (sólo escritorio)
  • Select Start

Al entender que un gesto o interacción tan inocente por parte del usuario como presionar la pantalla o utilizar las flechas para desplazarse en una página web les da el “permiso” de sobrescribir el portapapeles de su sistema lo convierte en un tema de preocupación. Esto está permitido en todos los navegadores web, incluidos Safari (de escritorio y móvil) y Firefox.

 

¿Qué dice Chrome al respecto?

 

Actualmente los desarrolladores de Chrome están al tanto de esta vulnerabilidad, pero de momento no hay una corrección o actualización que lo resuelva, a pesar que ya está disponible la versión 105 del navegador. 

Se espera que en breve puedan publicar un parche dada la gravedad de la falla y las múltiples probabilidades de que se esté abusando por Ciberactores.

En el portal de bugs de Chromiun se puede evidenciar que la falla está en conocimiento desde el 7 de junio de este año. Sin embargo, no es hace más de dos días que la noticia se ha hecho de conocimiento público.

 

 

Dentro del foro distintos usuarios han expresado su preocupación y disconformidad con la actual falla de seguridad.

 

 

Un informe de error en el sitio web de Chromium destaca que se eliminó la restricción de requerir un gesto del usuario antes de leer o escribir en el portapapeles. La razón que dieron es que “rompe el uso compartido de doodles NTP”.

 

Actualizaciones disponible para Google Chrome

 

Si bien como se mencionó anteriormente, Chrome actualizó su navegador a la versión 105.0.5195.52 (Mac/linux) y  105.0.5195.52/53/54 (Windows), esta no cuenta con la corrección para la falla del portapapeles.

De todas formas dicha actualización incluye 24 correcciones, de las cuales destacan 22 que fueron aportadas por investigadores externos: 1 es de severidad Crítica, 9 de severidad Alta, 9 de severidad Media y 3 de severidad Baja.

Puede encontrar el detalle de estas correcciones y CVE en el siguiente enlace.

IMPORTANTE: Todos los navegadores basados en Chromium que están actualizados se ven afectados por esto (falla de seguridad en el portapapeles). Firefox y Safari requieren un gesto de usuario antes de que los sitios web puedan copiar contenido en el portapapeles del dispositivo. El gesto del usuario en este contexto significa que el usuario está seleccionando contenido en el sitio y usando Ctrl+C u otros medios para realizar la copia en el portapapeles.

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante cuando estén disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
  • Mientras tanto, se recomienda a los usuarios que se abstengan de abrir páginas web entre cualquier acción de cortar/copiar y pegar y que verifiquen su portapapeles antes de realizar operaciones confidenciales en la web, como transacciones financieras.

Tags: #Vulnerabilidad #Google Chrome #Chromiun #API #Portapapeles #Bugs #Safari #Firefox
  • Productos Afectados
  • Producto Versión
    Navegadores web Basados en Chromiun
    Firefox
    Safari


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.