Un nuevo ataque para evadir protección de Google y robar datos confidenciales

En enero de 2018 se publicó la vulnerabilidad de Spectre, la cual afectaba a la gran mayoría de procesadores modernos teniendo un impacto mayor dada su popularidad. Desde entonces se han detectado diferentes variantes de los exploits publicados que aprovechan esta vulnerabilidad.
Los fabricantes de chips como Intel, ARM y AMD han trabajado continuamente para implementar diferentes mecanismos para tratar de mitigar o reducir los casos de éxito en los que un usuario malicioso pueda robar información sensible.
Sin embargo, no solo los fabricantes de chips han incorporado medidas de seguridad sino también los desarrolladores de navegadores web, como Google, que implementó un mecanismo de aislamiento de sitios, el cual realiza la carga de cada sitio web en un proceso separado evitando obtener información sensible entre procesos y sitios.
Recientemente un grupo de investigadores dio a conocer una nueva variante de Spectre llamada “Spook.js”, la cual tiene como objetivo afectar a los navegadores Web Google Chrome y los desarrollados con el motor de Chromium como son: Microsoft Edge o Brave, por mencionar algunos, que operan con los chips de Intel, AMD y Apple M1. Dicho hallazgo ha confirmado que es posible saltar el mecanismo de aislamiento de sitios para poder robar información sensible como: nombres de usuario, contraseñas, datos bancarios, etc.
Una página web controlada por un atacante puede saber las páginas que está navegando un usuario y sus preferencias y así, perfilarlo  para tratar de robar información confidencial e incluso recuperar contraseñas usando la funcionalidad de autocompletar. Además podría obtener las credenciales desde algunas extensiones de Chrome  que tienen la función de administradores de contraseñas. Esto sucedería si un usuario instala una extensión con código “Spook.js” incrustado.
A pesar de que el impacto por el robo de información sensible es alto, la probabilidad de que se materialice es baja ya que requiere fuertes conocimientos y amplia experiencia en ataques de canales laterales, y es necesario montar escenarios específicos para poder explotar esta vulnerabilidad. Sin embargo, es sabido que grupos criminales cuentan con la habilidad y recursos necesarios para intentar aprovechar este tipo de fallos y llevar a cabo más ataques con base en la información obtenida.
Algunas recomendaciones a los desarrolladores para reducir más este tipo de ataques son:
•    Separar el código JavaScript que no es de confianza del resto de sitio
•    Alojar el código JavaScript que no es de confianza en un dominio diferente cómo eTLD+1 (efective-Top Level Domain).
Este tipo de aislamiento no permitiría recibir código manipulado por los atacantes en el mismo proceso, dejando los datos fuera del alcance incluso para “Spook.js”, ya que no puede cruzar los límites del proceso.
Referencias: