15 mayo 2017
Campus Bilbao
El artículo “Extension Breakdown: Security Analysis of Browsers Extension Resources Policies” de los investigadores Iskander Sanchez-Rola (DeustoTech), Igor Santos (DeustoTech), y Davide Balzarotti (Eurecom) ha sido aceptado en la prestigiosa top-tier conference Usenix Security (Sec). Esta conferencia forma parte del llamado top-4, las cuatro mejores conferencias científicas de seguridad de sistemas. En esta edición, sólo 85 artículos se han aceptado de un total de 522 enviados.
En su contribución han analizado los procesos y políticas de control de recursos de los navegadores actuales, que evitan el acceso no autorizado a los mismos y ataques. En los dos métodos que existen: control de acceso y randomización, han encontrado vulnerabilidades y fallos de diseño. Estos fallos les han habilitado para diseñar ataques de enumeración capaces de identificar el 100% de las extensiones en el caso de los navegadores basados en control de acceso y un estimado 40% en el caso de randomización.
Para conseguir saltarse el control de acceso, los investigadores se han fijado en las diferencias de tiempo existentes entre un intento de acceso a una extensión instalada y otra no instalada. Debido a la implementación interna en la que se registra, se puede obtener una diferencia de tiempo que permite un ataque de enumeración de todas las extensiones. En el caso de la randomización, los autores han optado por centrarse en los desarrolladores, diseñando un método capaz de identificar cuando la randomización es filtrada, consiguiendo enumerar el 40% de las extensiones existentes.
La existencia de esta posibilidad abre la puerta a diversos ataques, como personalización del contenido para engañar al usuario, ataques dirigidos en función de lo instalado, explotar extensiones vulnerables o fingerprinting de usuario.
Los autores han comunicado sus hallazgos a los desarrolladores de las grandes familias de navegadores (Chrome, Firefox y Edge), así como a los desarrolladores de extensiones de Safari, con posibles soluciones a tan grave problema. Actualmente, se encuentran desarrollando y solventando estos problemas.
La intervencición en este encuentro es un hito más del grupo de seguridad de DeustoTech, que demuestra, de nuevo, como su trabajo está al nivel de los grandes grupos de investigación del mundo.
