Un grupo de investigadores de ciberseguridad ha descubierto una vulnerabilidad en el navegador web Opera, compatible con Microsoft Windows y Apple macOS, que podría ser explotada para ejecutar cualquier archivo en el sistema operativo subyacente.
El equipo de investigación de Guardio Labs ha llamado a esta vulnerabilidad de ejecución remota de código “MyFlaw” debido a su explotación de una función llamada My Flow, diseñada para sincronizar mensajes y archivos entre dispositivos móviles y de escritorio.
Según la compañía, “esto se logra a través de una extensión controlada del navegador, evitando efectivamente la zona de pruebas del navegador y todo el proceso del navegador”. El problema afecta tanto al navegador Opera como a Opera GX. Tras la divulgación responsable el 17 de noviembre de 2023, la vulnerabilidad fue abordada mediante actualizaciones implementadas el 22 de noviembre de 2023.
My Flow ofrece una interfaz de chat para intercambiar notas y archivos, y estos últimos pueden abrirse a través de una interfaz web, lo que significa que un archivo podría ejecutarse fuera de los límites de seguridad establecidos por el navegador.
La vulnerabilidad está vinculada a una extensión interna del navegador denominada “Opera Touch Background”, preinstalada y facilitada para la comunicación con dispositivos móviles. Esta extensión incluye su propio archivo de manifiesto que especifica permisos y comportamiento, con una propiedad llamada “externally_connectable” que declara qué páginas web y extensiones pueden conectarse a ella. En el caso de Opera, los dominios autorizados para la comunicación deben coincidir con los patrones “*.flow.opera.com” y “.flow.op-test.net”, ambos controlados por el proveedor del navegador.
Guardio Labs identificó una versión “olvidada” de la página de inicio de My Flow en el dominio “web.flow.opera.com”, sin la metaetiqueta de política de seguridad de contenido y con una solicitud de archivo JavaScript sin control de integridad. Esta condición permite a un atacante crear una extensión maliciosa que se hace pasar por un dispositivo móvil, emparejarse con la computadora de la víctima y transmitir una carga maliciosa cifrada mediante un archivo JavaScript modificado para su ejecución, solicitando al usuario que haga clic en cualquier lugar de la pantalla.
Los descubrimientos resaltan la creciente complejidad de los ataques basados en el navegador y los diversos vectores que los actores de amenazas pueden explotar para sus fines.
“A pesar de operar en entornos aislados, las extensiones pueden ser herramientas poderosas para los piratas informáticos, permitiéndoles robar información y violar los límites de seguridad del navegador”, señaló la compañía a The Hacker News.
Esto subraya la necesidad de cambios en el diseño interno de Opera y mejoras en la infraestructura de Chromium. Por ejemplo, se recomienda deshabilitar los permisos de extensión de terceros en dominios de producción dedicados, similar a la tienda web de Chrome, pero Opera aún no ha implementado esta medida.
Al ser contactada para comentarios, Opera afirmó que actuó rápidamente para cerrar la vulnerabilidad y aplicar una solución en el servidor, tomando medidas para prevenir problemas similares en el futuro.
“Nuestra estructura actual utiliza un estándar HTML y es la opción más segura que no interrumpe la funcionalidad clave”, indicó la compañía. “Después de que Guardio Labs nos alertó sobre esta vulnerabilidad, eliminamos la causa de estos problemas y nos aseguramos de que no aparezcan problemas similares en el futuro”.
“Queremos expresar nuestro agradecimiento a Guardio Labs por descubrir y alertarnos de inmediato sobre esta vulnerabilidad. Esta colaboración demuestra cómo trabajamos junto con expertos e investigadores en seguridad de todo el mundo para complementar nuestros esfuerzos y garantizar la seguridad de nuestros productos y una experiencia en línea segura para nuestros usuarios”.