Vulnerabilidad en el autocompletar en los navegadores
En la última Black Hat conference, evento donde se presentan debates de seguridad Jeremiah Grossman de White Hat Security comentó que el registro que los usuarios realizan en internet a través de sus navegadores mediante la opción de autocompletar formularios presenta vulnerabilidades por las que delincuentes informáticos pueden conseguir sus datos, como cuentas, email y otros datos de mayor relevancia.
El exploit con el que actúan estos ciberdelincuentes se presenta a modo de formulario normal, con etiquetas para nombre, dirección, apellidos, email. Un Script es creado con las primeras coincidencias para cada letra con la posibilidad de autocompletar dichos formularios.
Si el navegador identifica estas coincidencias puede llegar a autocompletar por sí mismo estos campos. Grossman informó a Apple sobre estos sucesos pero que todavía no ha recibido respuesta alguna. Además este tipo de vulnerabilidad se ha detectado en las versiones 6 y 7 de Internet Explorer.
Además Chrome y Firefox pueden presentar también esta vulnerabilidad. Los atacantes puedes conseguir datos relevantes de los usuarios mediante la función de autocomplementar en cualquier navegador puediendo llegar a obtener incluso contraseñas de cuentas relevantes.
Grossman ha publicado una PoC para Safari y un vídeo de demostración y en su blog e informa que Safari ya ha solucionado la vulnerabilidad.
Fuente: OpenSecurity y H-Online
El exploit con el que actúan estos ciberdelincuentes se presenta a modo de formulario normal, con etiquetas para nombre, dirección, apellidos, email. Un Script es creado con las primeras coincidencias para cada letra con la posibilidad de autocompletar dichos formularios.
Si el navegador identifica estas coincidencias puede llegar a autocompletar por sí mismo estos campos. Grossman informó a Apple sobre estos sucesos pero que todavía no ha recibido respuesta alguna. Además este tipo de vulnerabilidad se ha detectado en las versiones 6 y 7 de Internet Explorer.
Además Chrome y Firefox pueden presentar también esta vulnerabilidad. Los atacantes puedes conseguir datos relevantes de los usuarios mediante la función de autocomplementar en cualquier navegador puediendo llegar a obtener incluso contraseñas de cuentas relevantes.
Grossman ha publicado una PoC para Safari y un vídeo de demostración y en su blog e informa que Safari ya ha solucionado la vulnerabilidad.
Fuente: OpenSecurity y H-Online
Creative Commons Atribución-No Comercial-Compartir Obras Derivadas Igual 2.5
-
Posts Relacionados:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.
Gracias por comentar!