Steam es, a día de hoy, la mayor distribuidora de contenidos digitales del mercado. A través de su tienda online, los jugadores de todo el mundo pueden comprar cualquiera de los numerosos títulos disponibles para PC a unos precios más que aceptables, comparados con los precios de otras tiendas físicas y otras plataformas. Para acceder a todos estos juegos necesitamos el cliente de escritorio de Steam que, entre otras funciones, cuenta con un navegador integrado para visitar su tienda desde allí, sin necesidad de utilizar el navegador web del sistema operativo.
Mientras que hace tiempo este navegador web integrado utilizaba un motor propio (era un navegador bastante pesado y lento), Valve decidió mejorar esta característica e implementar el motor Chromium, de Google, en su plataforma de manera que la experiencia de los usuarios al utilizar su navegador integrado mejorara notablemente no solo para navegar por la tienda, sino para visitar prácticamente cualquier web de la red.
Valve decidió implementar en Steam el motor de Chromium, concretamente de la versión 47 del mismo, para navegar. La experiencia de los usuarios mejoró notablemente, sin embargo, utilizar un motor de renderizado como este conlleva una serie de responsabilidades de las que Valve no ha hecho caso. La primera de ellas, y más importante, es mantener el motor actualizado a las versiones más recientes de manera que los piratas informáticos no puedan utilizar el navegador como vector de ataque, hecho que la compañía no ha cumplido.
Dos fallos de seguridad en el navegador de Steam que podían haberse evitado
A día de hoy, Chromium se llega por la versión 50 (en la rama Nightly). En las 3 actualizaciones que se han liberado desde la versión 47 utilizada en Steam, se han solucionado un gran número de problemas y fallos de seguridad, conocidos y explotados por piratas informáticos, fallos que aún están presentes en el motor del navegador de Valve. Sin embargo, esto no es culpa directa de Valve, ya que ha sido Google quien no ha actualizado el módulo CEF de Chromium utilizado por los desarrolladores para llevar su motor de renderizado a aplicaciones de terceros, pero sí es culpa de Valve el haber utilizado dicho motor desactualizado en lugar de haber optado por otras alternativas como Gecko, el motor de Firefox.
En segundo lugar, este navegador integrado no funciona dentro de una sandbox, o cajón de arena, por lo que todos los procesos que se ejecutan lo hacen directamente sobre el sistema operativo, sin una capa intermedia que pueda proteger a los usuarios de posibles vectores de ataque. Este fallo de seguridad sí es responsabilidad directa de Valve ya que ha sido la compañía quien ha desactivado la función de sandbox por defecto, característica innata de Chromium.
Ambos fallos de seguridad han sido reportados a Valve a través de GitHub y han sido confirmados por la compañía, por lo que lo más probable es que en breve los veamos solucionados a través de una actualización del cliente. Mientras esto ocurre, es recomendable evitar el uso del navegador integrado para visitar la tienda, especialmente para acceder a páginas externas (por ejemplo, para navegar mientras jugamos) o visitar enlaces que nos podamos encontrar por la comunidad, de manera que evitemos posibles exploits que puedan tomar el control de nuestro sistema a partir de este navegador desactualizado.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
