Recentemente, il browser Opera ha corretto una vulnerabilità significativa che avrebbe potuto esporre le informazioni degli utenti a rischi di sicurezza. Questo difetto, ora risolto, avrebbe permesso a un'estensione dannosa di ottenere accesso non autorizzato agli API privati del browser. L'attacco, denominato CrossBarking, avrebbe potuto consentire azioni come la cattura di schermate, la modifica delle impostazioni del browser e l'hijacking degli account, secondo quanto dichiarato da Guardio Labs.

Dettagli dell'attacco

Per dimostrare l'efficacia dell'attacco, l'azienda ha sviluppato un'estensione apparentemente innocua pubblicata nel Chrome Web Store, che, una volta installata su Opera, avrebbe sfruttato la vulnerabilità, rappresentando un caso di attacco cross-browser-store. Questo evento sottolinea il conflitto tra produttività e sicurezza, offrendo uno sguardo sulle tattiche utilizzate dagli attori delle minacce moderne. La vulnerabilità è stata risolta da Opera il 24 settembre 2024, dopo una divulgazione responsabile. Tuttavia, non è la prima volta che vengono identificate falle di sicurezza nel browser.

In precedenza, a gennaio, è emersa una vulnerabilità denominata MyFlaw, che sfruttava una funzionalità legittima chiamata My Flow per eseguire qualsiasi file sul sistema operativo sottostante. La più recente tecnica di attacco si basa sul fatto che diversi sottodomini di Opera, accessibili pubblicamente, hanno accesso privilegiato agli API privati del browser. Questi domini supportano funzionalità specifiche di Opera come Opera Wallet e Pinboard, oltre a essere utilizzati nello sviluppo interno.

Metodologia di attacco

La ricerca di Guardio ha dimostrato che gli script di contenuto presenti all'interno di un'estensione del browser potrebbero essere utilizzati per iniettare JavaScript dannoso nei domini eccessivamente permissivi e ottenere accesso agli API privati. Con questo accesso, un attaccante potrebbe catturare schermate di tutte le schede aperte, estrarre i cookie di sessione per hijackare account e persino modificare le impostazioni DNS-over-HTTPS del browser per risolvere i domini tramite un server DNS controllato dall'attaccante.

Questo potrebbe preparare il terreno per attacchi avversari-in-mezzo (AitM) quando le vittime tentano di visitare siti bancari o di social media, reindirizzandole verso controparti dannose. L'estensione dannosa potrebbe essere pubblicata in cataloghi di componenti aggiuntivi, incluso il Chrome Web Store, da dove gli utenti potrebbero scaricarla e aggiungerla ai loro browser, attivando di fatto l'attacco. Tuttavia, richiede il permesso di eseguire JavaScript su qualsiasi pagina web, in particolare sui domini che hanno accesso agli API privati. Le estensioni del browser hanno un potere considerevole, e per questo motivo, è fondamentale che le politiche di controllo le monitorino rigorosamente. Il modello di revisione attuale è insufficiente; si raccomanda di potenziarlo con metodi di analisi continua che monitorano l'attività di un'estensione anche dopo l'approvazione.