La próxima semana, en la conferencia sobre seguridad Black Hat, Jeremiah Grossman explicará y publicará una vulnerabilidad que afecta a los navegadores Safari (versiones 4 y 5) e Internet Explorer (6 y 7). Grossman, CTO de White Hat Security, se manifestó insatisfecho con la inacción de las empresas ante su reporte, y toma este hecho como el motivo para decidir exponer los datos del ataque al público:
Nunca hubiera hecho esto público si Apple se lo hubiera tomado con seriedad.
Imaginé que alguien más había encontrado esto anteriormente, porque es demasiado simple.
La vulnerabilidad que presentará el investigador, podría permitir exponer datos sensibles de los usuarios, como nombres de usuario, contraseñas o direcciones de correo. Básicamente se basa en la función de auto completar que poseen los navegadores: ese momento en que uno empieza a escribir unas pocas letras en el campo de un formulario y automáticamente se sugiere por el historial el valor completo. Aparentemente, un sitio web especialmente diseñado podría comenzar a probar caracteres al azar a la espera de encontrar aquellos que el propio browser auto completa, y así capturar información que podría ser privada del usuario, todo esto en un campo de formulario oculto. Es decir, imagina a un atacante tipeando caracteres en un formulario en su computadora para ver si encuentra información guardada, y luego imagina que todo eso puede ser realizado de forma remota y transparente. Ese sería el ataque que Grossman mostrará con detalles y pruebas de concepto en vivo durante el desarrollo de la importante conferencia sobre hacking y seguridad de la próxima semana.
Vale destacar algunos otros hechos relevantes: ni Firefox ni Chrome están afectados por esta vulnerabilidad en particular y las versiones afectadas de Internet Explorer no incluyen la versión 8, por lo que los usuarios con esta última tampoco estarán expuestos.
El hecho de que Firefox y Chrome no sean vulnerables no me parece un dato menor, menos luego de lo comentado ayer sobre la posición de Google y Mozilla de pagar a los investigadores por el descubrimiento de vulnerabilidades, y cómo casualmente empresas como Apple o Microsoft que podrían imitar esta iniciativa, toman posiciones diametralmente opuestas, no sólo no reconociendo el trabajo del investigador en seguridad, sino también ignorando sus reportes. Este tipo de respuestas son normales para quienes trabajamos en seguridad, especialmente con empresas de otro tamaño, aunque uno espera otra posición cuando se trata de líderes del mercado de tecnología, y navegadores con miles de usuarios.