HTML5 plantea nuevos problemas de seguridad

Cuando se trata de nueva seguridad problemas, el equipo de seguridad para el navegador Firefox tiene la nueva versión del Lenguaje de marcado de hipertexto web, HTML5, el más importante.

"Las aplicaciones web se están volviendo increíblemente ricas con HTML5. El navegador está empezando a administrar aplicaciones de tamaño completo y no solo páginas web ", dijo Sid Stamm, que trabaja en temas de seguridad de Firefox para la Fundación Mozilla. Stamm estaba hablando en el Usenix Security Symposium, celebrado la semana pasada en Washington DC

"Hay mucha superficie de ataque en la que debemos pensar", dijo.

En la misma semana, Stamm expresó su preocupación por HTML5, desarrolladores del navegador Opera estaban ocupados solucionando una vulnerabilidad de desbordamiento de búfer que podría explotarse utilizando la función de renderizado de imágenes en lienzo HTML5.

¿Es inevitable que el nuevo conjunto de estándares del World Wide Web Consortium (W3C) para la presentación de páginas web sea conocido colectivamente? como HTML5, ¿vienen con un conjunto nuevo de vulnerabilidades? Al menos algunos investigadores de seguridad están pensando que este es el caso.

"HTML5 brinda muchas funciones y potencia a la Web. Ahora puedes hacer mucho más [trabajo malicioso] con HTML5 y JavaScript simples de lo que nunca antes ", dijo el investigador de seguridad Lavakumar Kuppan.

El W3C está" preparando todo este rediseño sobre la idea de que comenzaremos a ejecutar aplicaciones dentro del navegador, y hemos comprobado con el paso de los años qué tan seguros son los navegadores ", dijo Kevin Johnson. un probador de penetración con la firma de consultoría de seguridad Secure Ideas. "Tenemos que volver a entender que el navegador es un entorno malicioso. Perdimos el sitio de eso."

Aunque es el nombre de una especificación por sí mismo, HTML5 también se usa a menudo para describir una colección de conjuntos vagamente interrelacionados de estándares que, tomados en conjunto, pueden usarse para construir aplicaciones web completas. Ofrecen capacidades como el formateo de páginas, el almacenamiento de datos fuera de línea, la reproducción de imágenes y otros aspectos. (Aunque no es una especificación W3C, JavaScript también se incluye frecuentemente en estos estándares, por lo que se usa ampliamente en la construcción de aplicaciones web).

Toda esta nueva funcionalidad propuesta comienza a ser explorada por los investigadores de seguridad.

A principios de verano, Kuppan y otro investigador publicaron una forma de utilizar mal el caché de aplicaciones sin conexión de HTML5. Google Chrome, Safari, Firefox y la versión beta del navegador Opera ya han implementado esta característica, y serían vulnerables a los ataques que utilizan este enfoque, señalaron.

Los investigadores argumentan que debido a que cualquier sitio web puede crear un caché en la computadora del usuario y, en algunos navegadores, lo hacen sin el permiso explícito de ese usuario, un atacante podría configurar una página de inicio de sesión falso en un sitio, como una red social o un sitio de comercio electrónico. Dicha página falsa podría ser utilizada para robar las credenciales del usuario.

Otros investigadores se dividieron sobre el valor de este hallazgo.

"Es un giro interesante, pero no parece ofrecer a los atacantes de la red ninguna ventaja adicional más allá de lo ya pueden lograrlo ", escribió Chris Evans en la lista de distribución de Full Disclosure. Evans es el creador del software Very Secure File Transfer Protocol (vsftp).

Dan Kaminsky, científico jefe de la empresa de investigación de seguridad Recursion Ventures, estuvo de acuerdo en que este trabajo es una continuación de los ataques desarrollados antes de HTML5. "Los navegadores no solo solicitan contenido, lo renderizan y lo tiran. También lo almacenan para su uso posterior … Lavakumar está observando que las tecnologías de caché de próxima generación sufren este mismo rasgo", dijo, en una entrevista por correo electrónico..

Los críticos estuvieron de acuerdo en que este ataque se basaría en un sitio que no usa Secure Sockets Layer (SSL) para encriptar datos entre el navegador y el servidor de la página web, lo cual es comúnmente practicado. Pero incluso si este trabajo no desenterró un nuevo tipo de vulnerabilidad, sí muestra que una vulnerabilidad anterior se puede reutilizar en este nuevo entorno.

Johnson dice que, con HTML5, muchas de las nuevas características constituyen amenazas por sí mismas, debido a cómo aumentan las formas en que un atacante puede aprovechar el navegador del usuario para causar algún tipo de daño.

"Durante años, la seguridad se ha centrado en vulnerabilidades: desbordamientos de búfer, ataques de inyección de SQL. Los parcheamos, los reparamos, los supervisamos ", dijo Johnson. Pero en el caso de HTML5, a menudo las características en sí mismas "pueden usarse para atacarnos", dijo.

Como ejemplo, Johnson señala a Gmail de Google, que es un usuario temprano de las capacidades de almacenamiento local de HTML5. Antes de HTML5, un atacante puede haber tenido que robar cookies de una máquina y decodificarlas para obtener la contraseña de un servicio de correo electrónico en línea. Ahora, el atacante solo necesita ingresar al navegador del usuario, donde Gmail cuenta una copia de la bandeja de entrada.

"Estos conjuntos de características atemorizan", dijo. "Si puedo encontrar un error en su aplicación web e REPLACEar código HTML5, puedo modificar su sitio y ocultar cosas que no quiero que vea".

Con el almacenamiento local, un atacante puede leer datos de su navegador, o REPLACEe otros datos allí sin su conocimiento. Con la geolocalización, un atacante puede determinar su ubicación sin su conocimiento. Con la nueva versión de Cascading Style Sheets (CSS), un atacante puede controlar qué elementos de una página mejorada con CSS puede ver. HTML5 WebSocket suministra una pila de comunicación de red al navegador, que podría utilizarse incorrectamente para las subrepticias comunicaciones de puerta trasera.

Esto no quiere decir que los fabricantes de navegadores no se den cuenta de este problema. Incluso mientras trabajan para agregar el apoyo a los nuevos estándares, están buscando formas de prevenir su uso indebido. En el simposio de Usenix, Stamm destacó algunas de las técnicas que el equipo de Firefox está explorando para mitigar el daño que podría hacerse con estas nuevas tecnologías.

Por ejemplo, están trabajando en una plataforma de complemento alternativa, llamada JetPack, que mantendría un control más estricto sobre qué acciones podría ejecutar un complemento. "Si tenemos el control completo de la [interfaz de programación de aplicaciones], podemos decir 'Este add-on solicita acceso a Paypal.com, ¿lo permitiría?'", Dijo Stamm.

JetPack también puede usar un modelo de seguridad declarativo, en el cual el complemento debe declarar al navegador cada acción que intenta emprender. A continuación, el navegador controlará el complemento para asegurarse de que se mantenga dentro de estos parámetros.

Aún no se sabe si los fabricantes de navegadores pueden hacer lo suficiente para asegurar HTML5, afirman los críticos.

"La empresa debe comenzar a evaluar si vale la pena estas características para desplegar los nuevos navegadores ", dijo Johnson. "Esta es una de las pocas veces que escuchas 'Sabes, tal vez [Internet Explorer] 6 fue mejor'".

Joab Jackson cubre software empresarial y noticias de última hora sobre tecnología general para The IDG News Service. Sigue a Joab en Twitter en @Joab_Jackson. La dirección de correo electrónico de Joab es [email protected]