CSS Exfil Protection es una extensión del navegador para Mozilla Firefox y Google Chrome que protege los datos contra los ataques de CSS Exfil.
Los usuarios de Internet que conocen bien la seguridad en línea saben que JavaScript es una gran tecnología pero también algo que puede ser utilizado en los ataques. Hay muchas soluciones disponibles para hacer frente a los ataques basados en JavaScript, incluyendo el uso de bloqueadores de contenido como uBlock Origin, extensiones como NoScript que bloquean las ejecuciones de JavaScript, o la desactivación total de JavaScript (esto último no es muy práctico).
Un ataque, llamado CSS Exfil (de exfiltrar), usa CSS para robar datos. Mike Gualtieri, el investigador que descubrió la vulnerabilidad, publicó varios ataques de prueba de concepto diseñados para robar nombres de usuario, contraseñas y otros datos en las páginas web en las que se utiliza.
Mike Gualtieri creó un probador de vulnerabilidades que devuelve si el navegador web es vulnerable a los ataques de CSS Exfil. Sólo hay que visitar la página web en cuestión para ver si el navegador es vulnerable o no. La página sólo está probando la vulnerabilidad pero no abusando de ella de ninguna manera.
Lo que hace que el ataque sea particularmente problemático es que no depende de JavaScript y que los navegadores no ofrecen ninguna forma de protección contra él.
CSS Exfil Protection es una extensión del navegador que añade protecciones contra los ataques de CSS Exfil a los navegadores web. Diseñada para Firefox y Chrome, la extensión debería funcionar también en navegadores basados en Firefox o Chrome como Opera o Vivaldi.
La extensión “desinfecta y bloquea cualquier regla del CSS que pueda ser diseñada para robar datos”. Ten en cuenta que puedes encontrarte con problemas en los sitios que utilizan estas reglas con fines legítimos. El desarrollador planea introducir soporte para una lista blanca en futuras versiones para abordar el problema. Ya se proporciona una opción para activarla o desactivarla globalmente.
Sólo tiene que instalar la extensión en un navegador web compatible para proteger sus datos contra los ataques que explotan el problema. Puede que quieras visitar la página del probador de vulnerabilidades de nuevo para ver si estás realmente protegido.
La protección de CSS Exfil añade un icono a la barra de herramientas principal del navegador. El icono muestra el número de reglas CSS bloqueadas para indicar que el contenido fue bloqueado en la página; esto no significa necesariamente que la página fue utilizada en un ataque ya que las reglas CSS pueden ser utilizadas también con fines legítimos.
CSS Exfil Protection es de código abierto. Puedes navegar por el código en la página de GitHub del proyecto.
Palabras finales
La vulnerabilidad de CSS Exfil destaca una vez más que siempre existe la posibilidad de que se abuse de la nueva tecnología que soportan los navegadores.