Tag Google Chrome

Se detectaron varias docenas de extensiones maliciosas, con un total de 87 millones de descargas, en Chrome Web Store de Google.

No hace mucho tiempo, se descubrieron varias docenas de complementos maliciosos en Chrome Web Store (la tienda oficial de extensiones de navegador para Google Chrome). La más popular de estas extensiones tuvo más de nueve millones de descargas, y en total estos complementos se habían descargado alrededor de 87 millones de veces. Explicaremos qué son estas extensiones y por qué son peligrosas.

Extensiones maliciosas en Chrome Web Store

Todo comenzó cuando el investigador de ciberseguridad independiente Vladimir Palant descubrió una extensión llamada PDF Toolbox que contenía código sospechoso en Chrome Web Store. A primera vista, era un complemento perfectamente respetable para convertir documentos de Office y realizar otras operaciones sencillas con archivos PDF.

PDF Toolbox contaba con una impresionante base de usuarios y buenas críticas, cerca de dos millones de descargas y una puntuación media de 4,2. Sin embargo, dentro de esta extensión se descubrió una “funcionalidad adicional” interesante: el complemento accedía al sitio serasearchtop[.]com, desde donde cargaba código arbitrario en todas las páginas visualizadas por el usuario.

A continuación, Palant buscó en Chrome Web Store otras extensiones que accedieran a este servidor y encontró varias docenas de complementos con una funcionalidad adicional similar. En total, se habían descargado 55 millones de veces.

Por último, tras recolectar muchas muestras de extensiones maliciosas, realizó una búsqueda aún más exhaustiva en la tienda de Google y descubrió 34 extensiones maliciosas con funcionalidades básicas completamente diferentes. En total, se habían descargado 87 millones de veces. El complemento malicioso más popular que encontró el investigador fue “Autoskip for Youtube” con nueve millones de descargas.

Las extensiones se cargaron en Chrome Web Store en 2021 y 2022, lo que significa que llevaban allí al menos seis meses cuando se realizó el estudio. Además, entre las reseñas de algunas de ellas, había quejas de usuarios atentos que habían advertido que las extensiones reemplazaban las direcciones en los resultados de búsqueda por enlaces de adware. Como te imaginarás, estas quejas pasaron desapercibidas para los moderadores de Chrome Web Store.

Después de la publicación del estudio de Palant, además de otro artículo sobre el mismo tema a cargo de un equipo de expertos, Google finalmente eliminó las extensiones peligrosas. Pero fue necesaria la intervención de varios especialistas reconocidos para que sucediera esto. Por cierto, ocurre lo mismo con Google Play: allí, las quejas de los usuarios comunes generalmente tampoco son escuchadas.

Por qué las extensiones de navegador maliciosas son particularmente desagradables

En pocas palabras, hay tres problemas principales con las extensiones de navegador. En primer lugar, está el nivel de acceso a los datos de los usuarios que tienen. De hecho, para funcionar correctamente y resultar útil, cualquier complemento generalmente necesita tu consentimiento para leer y cambiar todos tus datos en todos los sitios web.

Y sí, significa exactamente lo que lees. Como regla general, los complementos de navegador solicitan consentimiento para ver y cambiar todos tus datos en todos los sitios. Es decir, ven absolutamente todo lo que haces en todos los sitios que visitas y pueden cambiar arbitrariamente el contenido de una página que se muestra.

Esto es lo que potencialmente permite que los creadores de extensiones hagan:

• Rastrear todas las actividades de los usuarios para recopilar y vender información sobre ellos.
• Robar datos de tarjetas y credenciales de la cuenta.
• Insertar anuncios en páginas web.
• Sustituir enlaces en los resultados de búsqueda (como se mencionó anteriormente).
• Reemplazar la página de inicio del navegador por un enlace publicitario.

Debes tener en cuenta que la funcionalidad maliciosa de un complemento puede evolucionar con el tiempo de acuerdo con los objetivos de sus propietarios. Incluso los propietarios pueden cambiar: ha habido casos en que aparecieron funciones maliciosas en una extensión previamente segura después de que sus creadores vendieran el complemento a otra persona.

El segundo problema es que los usuarios generalmente prestan poca atención a los peligros de las extensiones del navegador: instalan muchas de ellas y dan su consentimiento para leer y cambiar cualquier dato en el navegador. ¿Qué alternativa tienen? Si rechazan los términos, el complemento simplemente no funcionará.

En teoría, los moderadores de las tiendas donde se cargan estos complementos deberían supervisar la seguridad de las extensiones. Pero, problema número tres, como se desprende de lo anterior, no lo hacen demasiado bien. Incluso Chrome Web Store, la tienda oficial de Google, tenía docenas de extensiones maliciosas dando vueltas. Además, pueden permanecer allí durante años, a pesar de las opiniones de los usuarios.

Qué debes hacer si has instalado una extensión maliciosa

Debes tener en cuenta que, incluso si una tienda prohíbe un complemento, esto no significa que se eliminará automáticamente de los dispositivos de todos los usuarios que lo instalaron. Por lo tanto, vale la pena verificar si tienes alguna extensión maliciosa instalada en tu dispositivo. Elimina inmediatamente los complementos de la siguiente lista y, si es necesario, descarga una alternativa segura:

• Autoskip for Youtube
• Soundboost
• Crystal Adblock
• Brisk VPN
• Clipboard Helper
• Maxi Refresher
• Quick Translation
• Easyview Reader view
• PDF Toolbox
• Epsilon Ad blocker
• Craft Cursors
• Alfablocker ad blocker
• Zoom Plus
• Base Image Downloader
• Clickish fun cursors
• Cursor-A custom cursor
• Amazing Dark Mode
• Maximum Color Changer for Youtube
• Awesome Auto Refresh
• Venus Adblock
• Adblock Dragon
• Readl Reader mode
• Volume Frenzy
• Image download center
• Font Customizer
• Easy Undo Closed Tabs
• Screence screen recorder
• OneCleaner
• Repeat button
• Leap Video Downloader
• Tap Image Downloader
• Qspeed Video Speed Controller
• HyperVolume
• Light picture-in-picture

El propio Vladimir Palant elaboró esta lista. Además, señala que posiblemente la lista de complementos maliciosos no esté completa. Por lo tanto, debes tener cuidado con otras extensiones.

Cómo puedes defenderte frente a las extensiones de navegador maliciosas

Esta historia demuestra que nunca debes confiar ciegamente en los moderadores de las tiendas donde obtienes las extensiones de tu navegador. Siempre es aconsejable tomar algunas precauciones. A continuación, te indicamos cómo protegerte frente a los complementos maliciosos:

• No instales demasiadas extensiones de navegador. Cuantas menos tengas, mayor será tu seguridad.
• Antes de instalar una extensión, lee sus reseñas. Aunque no es una garantía de seguridad, en algunos casos al menos ayudará a desenmascarar un complemento malicioso.
• Revisa tu lista de extensiones instaladas de vez en cuando y elimina las que no uses o realmente no necesites.
• Instala , una protección fiable, en todos tus dispositivos.

Fuente: latam.kaspersky.com

Project Zero, el equipo de analistas de seguridad compuesto por empleados de Google dedicado principalmente a hallar vulnerabilidades de día cero (zero-day), ha publicado un informe en el que se muestra a Linux como proyecto más rápido que compañías como Apple y Microsoft a la hora de corregir fallos de seguridad.

Para realizar el informe, Project Zero ha tomado todos los fallos de seguridad corregidos desde enero de 2019 hasta diciembre de 2021. El equipo de analistas de seguridad de Google ha recalcado el trabajo que hace para dificultar el terreno a los actores maliciosos, pero también ha comentado sobre su informe que “hay una serie de advertencias con nuestros datos, la mayor de las cuales es que analizaremos una pequeña cantidad de muestras, por lo que las diferencias en los números pueden o no ser estadísticamente significativas”.

Project Zero notifica al vendedor y le concede 90 días para corregir un fallo antes de hacerlo público, pudiendo dar 14 días de gracia si se confirma que hay planes serios de publicar un parche antes de los 104 días. Del informe, lo más interesante es la tabla en la que se comparan los fallos corregidos con el tiempo empleado para publicar los correspondientes parches.

Por lo que se puede ver en la tabla, Linux (en este caso el kernel como proyecto) ha sido el vendedor más rápido a la hora de solucionar sus vulnerabilidades, habiendo conseguido corregir el 96% de los fallos reportados por Project Zero dentro del límite estándar de 90 días. Esto quiere decir que de 24 de las 25 vulnerabilidades reportadas por los investigadores en seguridad de Google han sido resueltas dentro del plazo que el gigante del buscador considera como razonable, mientras que el fallo restante excedió tanto el plazo estándar como el periodo de gracia.

Entre los vendedores que aparecen en la tabla de arriba, que corresponde a los fallos que han sido resueltos, solo Google sigue la estela de Linux al haber corregido el 95% de las vulnerabilidades dentro del plazo estándar de 90 días, con 53 fallos que fueron corregidos a tiempo de 56 descubiertos por su propio equipo de seguridad. Por su parte, Microsoft ha cumplido en el 76% de los casos dentro de los 90 días (61 de 80) y ha apurado el tiempo de gracia en el 19% de los casos (15 de 61), mientras que Apple ha corregido el 87% de los fallos dentro en los 90 primeros días tras ser informada (73 de 84). Sorprende ver cómo Apple y Microsoft se sitúan por debajo de Mozilla, que logró corregir 9 fallos de los 10 reportados dentro del límite estándar, aunque posiblemente el volumen influya en la mayor efectividad de la fundación tras Firefox.

Otro dato que sobresale de Linux es el tiempo medio necesario para corregir un fallo, que en el kernel es de tan “solo” 25 días. Dejando atrás el campo de “otros”, que engloba muchos proyectos y empresas de naturaleza muy diversa, vemos que Google se alza con el segundo puesto con 44 días y Mozilla es tercera con 46 días. Apple y Microsoft han tardado de media 69 y 83 días respectivamente.

Parece que los vendedores se lo están poniendo cada vez más difícil a Project Zero. En la siguiente tabla se puede ver un descenso en la cantidad de fallos reportados por parte de la división de Google y también como, a niveles generales, los desarrolladores son más rápidos a la hora de parchear, sobre todo en lo que respecta a Linux. Google empeora sus registros en el año 2021 y Apple no consigue mejorar de forma consistente.

En cuanto a plataformas para móviles, Project Zero ha tenido en cuenta tres: iOS, Android de Samsung y Android de Pixel. De la primera descubrieron 76 fallos con un tiempo de corrección medio de 70 días, mientras que del Android de Samsung se reportaron 10 fallos con un periodo medio de corrección de 72 días y del Android de Pixel 6 fallos con 72 días como tiempo medio necesario para parchear. La razón de la desproporcionada cantidad de vulnerabilidades de iOS se debe a que ahí se han contado también las aplicaciones suministradas junto al propio sistema operativo.

Y cerramos nuestro resumen del informe de Project Zero con los navegadores web, donde se han tenido en cuenta, siguiendo lo expuesto en el informe, a Chrome, WebKit y Firefox. El navegador de Mozilla es el más lento a la hora de publicar un parche tras ser reportarle un fallo, pero es la más rápida cuando se trata del periodo entre la publicación del parche y su liberación a través de un lanzamiento de Firefox. Chrome se muestra extremadamente rápido en la publicación de parches, pero no tanto en el lanzamiento, mientras que WebKit corrige a más velocidad que Mozilla, pero termina siendo de lejos el que más tarda en el lanzamiento.

En total, Chrome termina siendo el más rápido a la hora de solucionar sus fallos, si bien Firefox sigue su estela en términos relativos. Por su parte, WebKit tiene bastante que mejorar para dar alcance a sus rivales.

Conclusión

Como vemos, y según los datos recopilados por Project Zero de Google, Linux se muestra como un proyecto muy efectivo cuando se trata de corregir fallos de seguridad, y no solo a la hora de resolverlos, sino también de hacerlo en periodos de tiempo bastante cortos, incluso más cortos que los empleados por gigantes como Apple, Microsoft, Google y Oracle.

Aunque Linux ha tenido a su favor el hecho de ser el desarrollo de un único producto, no es menos cierto que mantener a raya los en torno a 30 millones de líneas de código del kernel no es algo fácil.

Fuente: https://www.muylinux.com/

Por segunda vez en lo que va de marzo y cuarta vez en 2021, Google lanza parche para reparar una vulnerabilidad zero-day que está siendo utilizada por atacantes de manera activa.

A comienzos de marzo Google lanzaba la versión 89.0.4389.72 de Google Chrome y hace apenas unos días lanzó la versión 89.0.4389.90 para la versión de escritorio para Windows, Linux y Mac. En esta última, la compañía repara una nueva vulnerabilidad zero-day, registrada como CVE-2021-21193, y según informa, está al tanto de la existencia de un exploit que está siendo utilizado de manera activa.

En la pasada actualización de principios de mes Google reparaba 47 vulnerabilidades, entre ellas la CVE-2021-21166, mientras que en esta actualización repara solo cinco vulnerabilidades.

En el caso de la zero-day reparada en esta última actualización, la misma fue catalogada como de alta severidad y se trata de una vulnerabilidad del tipo “use after free” en el motor de renderizado de código abierto conocido como Blink.

Si bien al igual que en la actualización anterior, la compañía no dio mayores detalles sobre el fallo ni sobre los ataques hasta una mayor adopción de la actualización, según CWE, este tipo de vulnerabilidades puede tener varias consecuencias, como la ejecución de código de manera arbitraria. En este caso, en equipos que utilicen una versión desactualizada del navegador.

Como decíamos al inicio, se trata de la segunda vulnerabilidad zero-day bajo activa explotación que Google repara en su navegador Chrome en lo que va de este mes. Además, es la cuarta zero-day en lo que va de 2021, a lo que se suman las cinco reparadas entre octubre y noviembre de 2020, también bajo activa explotación.

Para los que aún no lo hicieron, recomendamos actualizar Google Chrome a la última versión lo antes posible.

Fuente: www.welivesecurity.com

Se recomienda a los usuarios de Google Chrome actualizar el navegador a la versión 77.0.3865.90, ya que la compañía reparó cuatro fallos de seguridad importantes; uno de ellos catalogado como crítico

La semana pasada el equipo de Google Chrome anunció en su blog oficial el lanzamiento de una actualización para el navegador Chrome tanto para Windows, Mac como Linux.

Esta última versión de Chrome (77.0.3865.90) cuenta con parches de seguridad para cuatro vulnerabilidades reportadas entre agosto y septiembre de este año, de las cuales una fue catalogada como crítica, mientras que las otras tres son consideradas de alto riesgo.

En el caso de la vulnerabilidad crítica (CVE-2019-13685), la misma fue reportada el 5 de septiembre por Khalil Zhani y permitiría a un atacante tomar el control de un equipo infectado de manera remota.Las otras tres son la CVE-2019-13688, CVE-2019-13687 y CVE-2019-13686. Las dos primeras reportadas por Man Yue Mo, mientras que Brendon Tiszka hizo lo propio con la tercera.

Según explicó la compañía a través de su blog, el acceso a los detalles de cada una de las vulnerabilidades reportadas y reparadas en Chrome se mantendrá reservado hasta que la mayoría de los usuarios hayan actualizado a la última versión del navegador.

La explotación de estas vulnerabilidades permitiría a un atacante ejecutar código de manera arbitraria en el contexto del navegador. Lo único que necesitaría el atacante es lograr que la víctima abra un sitio web especialmente diseñado en el navegador, sin necesidad de que interactúe de manera adicional con el sitio, explica TheHackerNews.

Como parte de su programa de bug bounty, Google le pagó a Man Yue Mo un total de 20.000 dólares por las dos vulnerabilidades reportadas, mientras que el monto que cobrará Khalil Zhani y Brendon Tiszka aún se definió, publicó el medio.

Para más información, visitar el sitio oficial del programa de bug bounty de Google Chrome, donde encontrarán información detallada sobre los montos y recompensas.

Fuente: www.welivesecurity.com

A pesar de que el Proyecto KDE tiene algunas de las mejores aplicaciones gráficas para GNU/Linux, los navegadores son un terreno que siempre se le ha escapado desde hace muchos años.

Sin embargo, hoy nos hacemos eco del desarrollo de una extensión para Google Chrome por parte de los miembros de KDE para mejorar la integración del navegador en Plasma 5. No, no nos estamos refiriendo a ningún apaño estético, sino a una verdadera integración con algunas de las posibilidades más interesantes del entorno.

Según la publicación de Google+ que la ha dado a conocer, la extensión parece que se llamará Plasma Integration y su paquete plasma-browser-extension. Permitirá controlar los contenidos multimedia ejecutados por Chrome desde el plasmoide Controlador Multimedia, enviar enlaces a un dispositivo móvil con KDE Connect, mostrar las descargas desde el área de notificación, encontrar pestañas a través KRunner y hacer un seguimiento del historial de navegación a través de las actividades de KDE, además de otras cosas.

Por otro lado, se espera que la integración con Firefox no tarde mucho más en aparecer. De momento parece que el paquete de integración con Chrome será lanzado junto Plasma 5.10 a finales de mayo.

Fuente: www.muylinux.com