Los investigadores de seguridad cibernética descubren una falla crítica en la popular extensión Evernote Chrome que podría haber permitido a los piratas informáticos secuestrar su navegador y robar información confidencial de cualquier sitio web al que accedió.
Evernote es un servicio popular que ayuda a las personas a tomar notas y organizar sus listas de tareas pendientes, y más de 4 610 000 usuarios han estado usando su Extensión Web Clipper de Evernote para el navegador Chrome.
Descubierta por Guardio, la vulnerabilidad (CVE-2019-12592) residía en las formas en que la extensión Evernote Web Clipper interactúa con sitios web, iframes y secuencias de comandos inyectadas, rompiendo finalmente la política del mismo origen (SOP) del navegador y los mecanismos de aislamiento de dominio.
Según los investigadores, la vulnerabilidad podría permitir que un sitio web controlado por un atacante ejecute código arbitrario en el navegador en el contexto de otros dominios en nombre de los usuarios, lo que generaría un problema de Universal Cross-site Scripting (UXSS o Universal XSS).
«Se puede lograr un exploit completo que permitiría cargar un script controlado por un pirata informático remoto en el contexto de otros sitios web a través de un único y simple comando window.postMessage», dijeron los investigadores.
«Al abusar de la infraestructura de inyección prevista de Evernote, el script malicioso se inyectará en todos los marcos de destino de la página, independientemente de las restricciones de origen cruzado».
Como se muestra en el video de demostración, los investigadores también desarrollaron un exploit de prueba de concepto (PoC) que puede inyectar una carga útil personalizada en sitios web específicos y robar cookies, credenciales y otra información privada de un usuario desprevenido.
Sin duda, las extensiones agregan muchas funciones útiles a su navegador web, pero al mismo tiempo, la idea de confiar en un código de terceros es mucho más peligrosa de lo que la mayoría de la gente cree.
Dado que las extensiones se ejecutan en su navegador web, a menudo requieren la capacidad de realizar solicitudes de red, acceder y cambiar el contenido de las páginas web que visita, lo que representa una amenaza masiva para su privacidad y seguridad, sin importar si lo ha instalado desde las tiendas oficiales de Firefox o Chrome.
«Si bien el autor de la aplicación tiene la intención de brindar una mejor experiencia al usuario, las extensiones generalmente tienen permisos para acceder a una gran cantidad de recursos confidenciales y representan un riesgo de seguridad mucho mayor que los sitios web tradicionales», advirtieron los investigadores.
El equipo de Guardio informó responsablemente este problema a Evernote a fines del mes pasado, quien luego lanzó una versión actualizada y parcheada de su extensión Evernote Web Clipper para usuarios de Chrome.
Dado que el navegador Chrome verifica periódicamente, generalmente cada 5 horas, si hay nuevas versiones de las extensiones instaladas y las actualiza sin requerir la intervención del usuario, debe asegurarse de que su navegador esté ejecutando la última versión de Evernote 7.11.1 o posterior.