Las extensiones se están convirtiendo en la peor pesadilla de los usuarios conforme se van descubriendo nuevos agujeros de seguridad en las mismas que ponen en peligro sus datos. Todas las semanas tenemos al menos un caso sonado de una extensión que empieza a minar criptomoneda o de una extensión que cuela spyware en el ordenador del usuario. El caso de hoy tiene que ver con de Grammarly, cuya extensión para Chrome y Firefox permitió el robo de tus datos.
Una vulnerabilidad crítica detectada en las extensiones para Google Chrome y Mozilla Firefox del software Grammarly para comprobar la gramática y escritura deja expuestos los datos de 22 millones de cuentas de usuario. Esto incluye sus datos personales y otros datos de interés que pueden ser conseguidos fácilmente por ciberdelincuentes.
La extensión Grammarly para Chrome y Firefox dejó expuestos los datos personales
Según Tavis Ormandy, conocido por su trabajo como investigador de seguridad en Google Project Zero, el pasado 2 de febrero se descubrió una vulnerabilidad en las extensiones para Chrome y Firefox de Grammarly que dejaba expuestos los tokens de validación y cualquier página podía aprovechar para robar datos de forma remota. Además, sólo eran necesarias 4 líneas de código JavaScript.
En resumen, cualquier página visitada por un usuario de Grammarly podría robarle sus datos de autenticación. Esto es más que suficiente para acceder a su cuenta personal y a todos los documentos, historial, registros y otros datos sin su permiso. Para Ormandy, estamos ante una vulnerabilidad muy grave porque supone “una violación severa del usuario”.
Explica que estos “no esperan que cualquier página web visitada sea capaz de conseguir el permiso necesario para acceder a documentos y datos almacenados en otra página web que nada tiene que ver al respecto”. Para más información, ha publicado una prueba de concepto con 4 líneas de código que os dejamos a continuación.
Según parece, el equipo de Grammarly fue avisado el viernes y la vulnerabilidad estaba resuelta el lunes siguiente. Realmente, es un tiempo muy corto para solucionar un fallo de este calado y desde Google Project Zero reconocen el buen trabajo realizado. Desde Grammarly no tienen constancia de usuarios afectados, aunque tampoco estaría de más cambiar la contraseña y el usuario del servicio por lo que pudiera haber pasado.
Gracias por leer absolutoyrelativo.com. ¡Hasta la próxima!