Hago este post después de ponerme en contacto con Google para reportarle lo que considero un fallo de seguridad, pero que según ellos "this is working as intended" . Tal y como reza el título, cuando guardas una web (es decir, el HTML y todos los recursos necesarios para su correcta visualización) no filtran ningún tipo (al menos las que he probado) de extensión, por lo que fácilmente se puede colar algún archivo malicioso (en forma de .exe, por ejemplo) para que sea ejecutado por el usuario. Es decir, para que quede claro: inocente de mí, quiero descargarme una web (es decir, que pensamos que lo que estamos descargando es inofensivo) y sin embargo puedo estar descargándome además un ejecutable. Sin preguntarme. Sin vaselina.
Personalmente no me gusta que mi navegador me cuele un .exe sin consultarme primero. Otros navegadores (véase Firefox) cuando detectan que un recurso que es enlazado desde el HTML de la web que estamos descargando posee una extensión potencialmente peligrosa la renombra a .html, evitando el peligro. Por el contrario, Chrome se la come con patatas, porque "this is working as intended".
El PoC más simple de probar es crear un archivo HTML con el siguiente source:
Y guardamos en el mismo sitio un archivo .exe de nombre css (capitán obvio al rescate). Ahora procedemos a visualizar el archivo HTML con Chrome, click derecho->guardar como...->página web completa. Veremos cómo se crea un archivo .htm y una carpeta cuyo nombre es WEB_files, y dentro de ésta veremos nuestro .exe con nombre css. Ahora imaginad que ese .exe tuviese de icono uno imitando a una carpeta.
Si te has descargado una web, por el motivo X (por ejemplo comrpobar los CSS para copiarlos, o coger todas las imagenes), es altamente probable que hagas doble click en esa "carpeta" para abrirla, cuando en realidad lo que estarás haciendo es ejecutar malware. Y más probable es todavía de que confundas a un usuario de que se trata de una carpeta, cuando en windows el nombre de las extensiones no se ven por defecto. O sea, que me descargo los recursos de una web, hago doble click para verlos, y en realidad estoy ejecutando un troyano. Personalmente me parece bastante fácil que alguien caiga, aunque en Google opinan lo contrario:
the potential victim here would have to engage in willfully dangerous behavior to execute files by the means described in this report.
Byt3z!
Fuente: http://blog.0verl0ad.com/2014/06/fallo-de-seguridad-en-google-chrome-al.html
No hay comentarios:
Publicar un comentario