Vulnerabilidad en Chrome permite a hackers encontrar registros de Facebook

Se recomienda cambiar a la versión más reciente del navegador

Con el lanzamiento de Chrome 68, Google identifica cualquier sitio web que no sea HTTPS como ‘No seguro’ para hacer de la navegación en Internet una experiencia más segura. Si esto no es razón suficiente para cambiar a la versión más reciente del navegador, aquí hay más razones: expertos en ciberseguridad han descubierto una vulnerabilidad en los navegadores web que podría permitir a un hacker encontrar todo lo que otras plataformas web, como Facebook y Google, saben de usted, y todo lo que necesitan es que visites un sitio web.

La vulnerabilidad, identificada como CVE-2018-6177, explota una debilidad en las etiquetas HTML de audio y video y afecta a todos los navegadores web impulsados por “Blink Engine”, incluido Google Chrome.

Para describir el escenario, los expertos en ciberseguridad tomaron como ejemplo a Facebook, la popular plataforma de redes sociales que recopila información exhaustiva sobre sus usuarios, incluida su edad, sexo, datos de ubicación e intereses.

Facebook ofrece una función para orientar los posts de una página, lo que permite a los administradores definir una audiencia específica para publicaciones según edad, ubicación, sexo e intereses. Para demostrar la vulnerabilidad, fueron creados múltiples posts en Facebook con diferentes combinaciones de restricciones de audiencia para categorizar a las víctimas según estos criterios.

Ahora, si un sitio web incorpora todas estas publicaciones de Facebook, el sitio cargará y mostrará sólo algunas publicaciones específicas a los visitantes, basadas en los datos de perfil de los usuarios en Facebook que coinciden con la configuración de audiencia restringida.

Por ejemplo, si un post – definido para ser visible sólo para los usuarios de Facebook con 26 años de edad, varones, con interés en hacking o ciberseguridad, se cargó con éxito, un atacante contaría con la capacidad de deducir información personal de los usuarios, sin importar la configuración de privacidad de sus perfiles.

Aunque la idea suena bastante simple, no hay formas directas disponibles para que los administradores de un sitio determinen si una publicación incrustada se cargó con éxito para un visitante específico o no.

Un miembro del equipo de seguridad de Google señaló que la vulnerabilidad también podría funcionar contra sitios web que usan API para obtener información específica de la sesión del usuario.

El núcleo de esta vulnerabilidad tiene algunas similitudes con otro error del navegador, parcheado en junio de este año, que aprovechaba una debilidad en la forma como los navegadores web manejan las solicitudes de origen cruzado a archivos de video y audio, permitiendo a los atacantes acceder a contenido de Gmail o Facebook privado.

Investigadores en ciberseguridad informaron sobre la vulnerabilidad a Google con una prueba de concepto del exploit, y el equipo de Chrome parchó la vulnerabilidad en la versión de Chrome 68. Por lo tanto, se recomienda encarecidamente a los usuarios de Chrome que actualicen su navegador a la última versión, si es que aún no lo han hecho, para mantenerse a salvo de la posible filtración de su información de Facebook.