Vulnerabilidad en Chrome permite a hackers encontrar registros de Facebook

Se recomienda cambiar a la versión más reciente del navegador

Con el lanzamiento de¬†Chrome¬†68, Google identifica cualquier sitio web que no sea¬†HTTPS¬†como¬†‚ÄėNo seguro‚Äô¬†para hacer de la navegaci√≥n en Internet una experiencia m√°s segura. Si esto no es raz√≥n suficiente para cambiar a la versi√≥n m√°s reciente del navegador, aqu√≠ hay m√°s razones: expertos en ciberseguridad han descubierto una vulnerabilidad en los navegadores web que podr√≠a permitir a un hacker encontrar todo lo que otras plataformas web, como Facebook y Google, saben de usted, y todo lo que necesitan es que visites un sitio web.

La vulnerabilidad, identificada como¬†CVE-2018-6177, explota una debilidad en las etiquetas HTML de audio y video y afecta a todos los navegadores web impulsados por¬†‚ÄúBlink Engine‚ÄĚ, incluido Google Chrome.

Para describir el escenario, los expertos en ciberseguridad tomaron como ejemplo a Facebook, la popular plataforma de redes sociales que recopila información exhaustiva sobre sus usuarios, incluida su edad, sexo, datos de ubicación e intereses.

Facebook ofrece una funci√≥n para orientar los posts de una p√°gina, lo que permite a los administradores definir una audiencia espec√≠fica para publicaciones seg√ļn edad, ubicaci√≥n, sexo e intereses. Para demostrar la vulnerabilidad, fueron creados m√ļltiples posts en Facebook con diferentes combinaciones de restricciones de audiencia para categorizar a las v√≠ctimas seg√ļn estos criterios.

Ahora, si un sitio web incorpora todas estas publicaciones de Facebook, el sitio cargará y mostrará sólo algunas publicaciones específicas a los visitantes, basadas en los datos de perfil de los usuarios en Facebook que coinciden con la configuración de audiencia restringida.

Por ejemplo, si un post ‚Äď definido para ser visible s√≥lo para los usuarios de Facebook con 26 a√Īos de edad, varones, con inter√©s en hacking o ciberseguridad, se carg√≥ con √©xito, un atacante contar√≠a con la capacidad de deducir informaci√≥n personal de los usuarios, sin importar la configuraci√≥n de privacidad de sus perfiles.

Aunque la idea suena bastante simple, no hay formas directas disponibles para que los administradores de un sitio determinen si una publicación incrustada se cargó con éxito para un visitante específico o no.

Un miembro del equipo de seguridad de Google se√Īal√≥ que la vulnerabilidad tambi√©n podr√≠a funcionar contra sitios web que usan API para obtener informaci√≥n espec√≠fica de la sesi√≥n del usuario.

El n√ļcleo de esta vulnerabilidad tiene algunas similitudes con otro error del navegador, parcheado en junio de este a√Īo, que aprovechaba una debilidad en la forma como los navegadores web manejan las solicitudes de origen cruzado a archivos de video y audio, permitiendo a los atacantes acceder a contenido de Gmail o Facebook privado.

Investigadores en ciberseguridad informaron sobre la vulnerabilidad a Google con una prueba de concepto del exploit, y el equipo de Chrome parch√≥ la vulnerabilidad en la versi√≥n de Chrome 68. Por lo tanto, se recomienda encarecidamente a los usuarios de Chrome que actualicen su navegador a la √ļltima versi√≥n, si es que a√ļn no lo han hecho, para mantenerse a salvo de la posible filtraci√≥n de su informaci√≥n de Facebook.