Sitios web prominentes con graves defectos de codificación

Dos académicos de la Universidad de Princeton han encontrado un tipo de falla de codificación en varios sitios web prominentes que podrían poner en peligro los datos personales y en un caso alarmante, agotar una cuenta bancaria.

El tipo de falla, llamada solicitud de falsificación de sitios cruzados (CSRF), permite a un atacante realizar acciones en un sitio web en nombre de una víctima que ya ha iniciado sesión en el sitio.

Los desarrolladores Web han ignorado en gran parte los fallos de CSRF debido a la falta de conocimiento, escribieron William Zeller y Edward Felten, autor de un trabajo de investigación sobre sus hallazgos.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

El error se encontró en los sitios web de The New York Times; ING Direct, una caja de ahorro de los EE. UU.; YouTube de Google; y MetaFilter, un sitio de blogs.

Para explotar una falla CSRF, un atacante tiene que crear una página web especial y atraer a la víctima a la página. El sitio web malicioso está codificado para enviar una solicitud entre sitios a través del navegador de la víctima a otro sitio.

Desafortunadamente, el lenguaje de programación que subyace a Internet, HTML, hace que sea fácil hacer dos tipos de solicitudes, ambas pueden ser utilizado para ataques CSRF, escribieron los autores.

Este hecho apunta a cómo los desarrolladores web están presionando la programación para diseñar servicios web, pero a veces con consecuencias no deseadas.

"La causa raíz de CSRF y vulnerabilidades similares probablemente radique en la las complejidades de los protocolos web actuales y la evolución gradual de la Web desde una instalación de presentación de datos a una plataforma para servicios interactivos ", según el documento.

Algunos sitios web establecen un identificador de sesión, una información almacenada en una cookie. o un archivo de datos dentro del navegador, cuando una persona inicia sesión en el sitio. El identificador de sesión se verifica, por ejemplo, durante una compra en línea, para verificar que el navegador participó en la transacción.

Durante un ataque CSRF, la solicitud del hacker se pasa por el navegador de la víctima. El sitio web verifica el identificador de la sesión, pero el sitio no puede verificar que la solicitud provenga de la persona adecuada.

El problema de CSRF en el sitio web del New York Times, según el documento de investigación, permite a un atacante obtener la dirección de correo electrónico del usuario que está conectado al sitio. Esa dirección podría enviarse como spam.

El sitio web del periódico tiene una herramienta que permite a los usuarios que han iniciado sesión enviar por correo electrónico una historia a otra persona. Si es visitado por la víctima, el sitio web del hacker automáticamente envía un comando a través del navegador de la víctima para enviar un correo electrónico desde el sitio web del periódico. Si la dirección de correo electrónico de destino es la misma que la del hacker, se revelará la dirección de correo electrónico de la víctima.

A partir del 24 de septiembre, la falla no se había corregido, aunque los autores escribieron que notificaron al periódico en septiembre 2007.

El problema de ING tuvo consecuencias más alarmantes. Zeller y Felten escribieron que la falla de CSRF permitía que se creara una cuenta adicional en nombre de una víctima. Además, un atacante podría transferir el dinero de una víctima a su propia cuenta. ING resolvió el problema desde entonces, escribieron.

En el sitio web de MetaFile, un pirata informático podría obtener la contraseña de una persona. En YouTube, un ataque podría agregar videos a los "favoritos" de un usuario y enviar mensajes arbitrarios en nombre del usuario, entre otras acciones. En ambos sitios, los problemas de CSRF se han solucionado.

Afortunadamente, los defectos de CSRF son fáciles de encontrar y fáciles de solucionar, y los autores proporcionan detalles técnicos en su artículo. También han creado un complemento de Firefox que defiende contra ciertos tipos de ataques CSRF.