🔥 Fique por dentro das novidades mais quentes do momento! 🔥

Confira agora e compartilhe com seus amigos!

Apoie esse projeto de divulgacao de noticias! Clique aqui
Os pesquisadores encontraram uma falha no Opera GX, a versão do navegador Opera voltada para jogos, que permite que um site malicioso instale silenciosamente um complemento do navegador e o use para extrair dados específicos das páginas visitadas pela vítima.

Em uma prova de conceito, eles reconstruíram o endereço completo do Gmail de um usuário conectado a partir de uma única visita, sem nenhum clique. A Opera corrigiu a falha e afirma não ter encontrado nenhuma evidência de que ela tenha sido usada em estado selvagem.

A correção vem na versão 130.0.5847.89 do Opera GX, então qualquer pessoa em uma versão atual já está coberta; você pode confirmar o seu em opera://about. Não há CVE.

Como o ataque não precisou de cliques ou aprovações, não houve solução alternativa além do patch. A equipe de recompensas de bugs do Opera classificou o problema como P1, sua gravidade máxima, e pagou o prêmio máximo de US$ 5.000 por um bug crítico.

Como funciona o ataque

Os Mods GX permitem que você reformule o Opera GX com sons, temas, papéis de parede e CSS personalizados que remodelam os sites que você visita. Eles são enviados como arquivos .crx, como extensões de navegador, mas não podem executar JavaScript e não possuem permissões.

O ponto fraco está na forma como eles são instalados: o mod pipeline do Opera baixa e ativa um mod automaticamente, sem solicitação de aprovação. Assim, uma página maliciosa pode instalar uma silenciosamente, por exemplo, carregando um iframe oculto apontado para um arquivo .crx.

O único sinal é uma barra de notificação abaixo da barra de endereço informando que um mod foi adicionado, com um botão Remover.

Esse comportamento de instalação automática não é novo. O pesquisador Renwa o identificou em 2023 e, ao transformar um mod instalado em uma extensão completa, usou-o para falsificar a barra de endereço do navegador. O Opera corrigiu esse ataque específico em março de 2023, mas deixou a instalação automática subjacente em vigor, e é nisso que esta nova pesquisa se baseia.

Um mod silencioso de aparência e comportamento parece inofensivo por si só. Mas o CSS de um mod é aplicado a todas as páginas que você visita, não apenas a uma. A injeção comum de CSS está confinada à página em que chega; aqui, o estilo do invasor atinge todos os sites que o navegador abre, uma técnica que os pesquisadores chamam de injeção universal de CSS.

CSS não pode ler uma página e enviá-la por conta própria. Mas pode ser persuadido a vazar um valor, uma peça de cada vez. O truque depende de seletores de atributos: uma regra pode testar se o valor do atributo de um elemento, como um e-mail colocado em um campo oculto, começa com uma determinada letra e buscar uma imagem de fundo do servidor do invasor somente quando isso acontece. Dispare o suficiente e você aprenderá o valor caractere por caractere.

Os pesquisadores chamam isso de XS-Leak, abreviação de vazamento entre locais. Para obter um endereço do Gmail, os pesquisadores direcionaram isso para uma página de conta do Google, myaccount.google.com/contactemail, que contém o endereço dentro de três de seus atributos HTML.

Eles empacotaram um mod com cerca de 150.000 regras CSS, um conjunto para cada possível pedaço de três letras do endereço, e deixaram um script de reconstrução unir as correspondências novamente. Eles primeiro testaram peças de quatro letras, que precisavam de 5,6 milhões de regras e cerca de 880 MB de CSS. O navegador engasgou, então eles foram reduzidos para pedaços de três letras que se sobrepunham apenas o suficiente para serem remontados.

Encadear tudo levou apenas um empurrãozinho. A vítima acessa a página do invasor, o mod é instalado em segundos e algumas linhas de JavaScript redirecionam o navegador para a página da conta do Google. O CSS do mod já está carregado lá, então ele dispara as solicitações e vaza o endereço conforme a página é renderizada, antes que a vítima possa chegar ao botão Remover do aviso.

O endereço do Gmail foi apenas uma prova de conceito; a mesma abordagem pode levantar outros valores que uma página expõe em sua marcação, como um nome de usuário.

O mesmo caminho de instalação automática tem um segundo uso mais grosseiro documentado pelos pesquisadores: carregar um .crx no modo privado (incógnito) trava o navegador e despeja todas as guias abertas. Este também atinge o Opera normal, não apenas o Opera GX, já que qualquer .crx aciona o pipeline de instalação da extensão, seja lá o que ele contenha. O comunicado do Opera aborda a correção do roubo de dados e não menciona a falha.

Gravidade e o panorama geral

O relatório quase não recebeu o devido valor. O Opera executa seu programa de recompensas no Bugcrowd, e os analistas de triagem se esforçaram para entender o que o bug fazia, primeiro classificando-o como mediano P3.

Os pesquisadores defenderam seu caso de uma forma incomumente direta: enquanto um analista reproduzia o ataque, eles capturaram os trigramas do próprio analista, reconstruíram o endereço do Gmail do analista e colaram-no no relatório. A equipe do Opera então aumentou a gravidade para P1 e pagou o máximo de US$ 5.000 no nível crítico.

O relato do próprio Opera é mais comedido. Em seu assessor, a empresa afirma estar "bastante confiante" de que a falha nunca foi explorada e classifica o ataque como complicado de realizar: a vítima teve que acessar um site malicioso, acabar com um mod novo e ignorar o aviso de remoção por tempo suficiente para que o redirecionamento fosse acionado.

A demonstração dos pesquisadores é o contrapeso
Siga Canal Fsociety para mais novidades:
Instagram | Facebook | Telegram | Twitter
#samirnews #samir #news #boletimtec #falha #no #opera #gx #permite #que #sites #maliciosos #instalem #mods #automaticamente #para #roubar #dados #de #páginas #visitadas
🔔 Siga-nos para não perder nenhuma atualização!

Post a Comment