domingo, agosto 07, 2016

Time-Based "Browser-Based" Cross-Site Search Attacks

Tal vez el título te pueda llevar a confusión, o tal vez parecerte un galimatías para solo tipos raros, pero la verdad es que es el más ajustado para representar una de las técnicas que fueron publicadas en la pasada BlackHat USA 2016 - ya os avisé que los hackers son para el verano - para robar información personal que tengas guardada en tu buzón de correo electrónico.

Figura 1: Time-Based "Browser-Based" Cross-Site Search Attacks

Ya sabéis que es cuestión habitual utilizar el almacenamiento en el buzón de correo electrónico como repositorio documental para muchas personas. Se dejan ahí los mensajes de e-mail con adjuntos importantes o con contenido relevante. Es una práctica habitual que hay que proteger contra los posibles ataques de RansomCloud o contra el robo simple de credenciales. Pero también contra el robo de los datos por medio de la técnica que cuenta esta historia.

Figura 2: Cómo una web maliciosa roba datos de Facebook con un Time Info-Leak

Los que habéis estado atentos, recordareis que no hace mucho os hablaba de las técnicas de Time-Based Browser-Based para robar información de redes sociales como Facebook, Linkedin o Twitter. La idea era tan sencilla como medir en el WebBrowser tiempos de acceso a la caché o de conversión de vídeo de un contenido recibido desde una web para saber si ese contenido tenía un tamaño grande o pequeño. El resto del trabajo era tan sencillo como forzar al navegador a cargar un contenido de Facebook, o Linkedin, restringido por algún patrón (por ejemplo la edad como se describe en la Figura 2) y midiendo los tiempos para saber si se le había dado acceso al documento o no se podría saber la edad del visitante.

Figura 3: Diapositivas de la presentación en BlackHat USA 2016
Ahora en el trabajo publicado en BlackHat se da una vuelta de tuerca un poco mayor, ya que aplican el mismo tipo de sistema, pero a las búsquedas de contenido en los buzones de correo electrónico. Es decir, una víctima visita una página maliciosa mientras tiene su sesión de Google o de Yahoo! abierta en el navegador. A partir de ese momento la web realiza una búsqueda de contenido en el buzón de Gmail o de Yahoo! y no va a poder ver el contenido devuelto por la búsqueda, pero sí que va a poder saber si ha tardado más o menos, por lo que tendrá la posibilidad de conocer si el resultado ha sido positivo o negativo.

Figura 4: Medición de tiempos para respuestas True y False

Entre las cosas que se pueden buscar se encuentran desde mensajes enviados de una determinada persona o el contenido dentro de ellos, como por ejemplo los números OTP de recuperación de una cuenta de Facebook u otra. Por supuesto, no parece sencillo averiguar todos los números pero si se envían mensajes controlados al buzón de la víctima sería posible, tal y como han explicado en su presentación.

Figura 5: Ataque sobre Yahoo! Mail para sacar el OTP de Facebook

En Gmail ya han cerrado la posibilidad de realizar las búsquedas desde otras webs mediante la llamada de la API, pero la técnica también funciona con el mismo autocompletar que lleva incorporado el interfaz de Gmail.

Figura 6: El ataque realizado sobre el formulario de autocompletar de Gmail

Al final, cualquier info-leak basado en tiempo va a poder ser aprovechado de forma similar, así que no es de extrañar que veamos nuevas formas de sacar información de tus sesiones abiertas de otros lugares así. Por lo tanto, evita navegar con múltiples pestañas y múltiples sesiones abiertas en ellas que ya has visto lo que puede pasar.

Saludos Malignos!

No hay comentarios:

Publicar un comentario