Los navegadores web soportan un número cada vez mayor de API y características, y no parece haber un final a la vista de eso.
Las recientes adiciones a Google Chrome, las APIs WebUSB y WebBluetooth, permiten que los sitios interactúen con los dispositivos conectados al dispositivo en el que se ejecuta el navegador.
Si bien es cierto que hay casos en los que esto puede ser útil, a veces la introducción de nuevas características tiene consecuencias imprevistas.
En el caso de WebUSB y WebBluetooth, está abriendo las puertas a sofisticados ataques de phishing que podrían eludir los dispositivos de autenticación de dos factores basados en hardware, como algunos dispositivos de Yubikey.
Los investigadores de seguridad demostraron recientemente que la funcionalidad WebUSB del navegador web de Google Chrome puede utilizarse para interactuar directamente con dispositivos de autenticación de dos factores y no con el API (U2F) de Google Chrome diseñado para ese fin.
El ataque elude cualquier protección que los dispositivos de autentificación de dos factores ofrecen que son susceptibles. Los dispositivos necesitan soportar protocolos para conectarse a un navegador que no sea a través de U2F para que el ataque funcione y los usuarios necesitan interactuar con el sitio de phishing para que el ataque se lleve a cabo con éxito.
Chrome muestra un aviso cuando un sitio intenta usar WebUSB o WebBluetooth. El usuario debe permitir la solicitud y escribir o pegar el nombre de usuario y la contraseña de la cuenta en los formularios designados del sitio.
Si bien esto pone una barrera, que requiere la interacción del usuario antes de que pueda llevarse a cabo, sigue poniendo de relieve que las nuevas características pueden abrir nuevas posibilidades de abuso.
Los usuarios deben prestar atención a los diálogos de permiso que el navegador les muestra. Los sitios de ataque podrían diseñarse de manera que los usuarios tengan la seguridad de que esos diálogos de permiso son necesarios para la funcionalidad. Si bien no está claro cuántos usuarios caerían en esa trampa, especialmente los que utilizan dispositivos de autenticación de doble factor de hardware, es casi seguro que algunos lo harían.
Las dos extensiones de código abierto del navegador, Disable WebUSB y Disable WebBluetooth, abordan el problema directamente; bloquean las API del navegador para que no se pueda abusar de ellas. Debe quedar claro que estas extensiones bloquearán cualquier interacción con estas API; no distingue entre las solicitudes buenas y las malas.
Si nunca usas WebUSB o WebBluetooth, deberías considerar instalar las extensiones para tener un poco más de seguridad. Las extensiones se ejecutan silenciosamente en segundo plano y bloquean cualquier intento de usar la API de WebUSB o WebBluetooth.
Now You : ¿Deshabilitas ciertas características del navegador?
