Editor Top
Si usa Firefox en una Mac o PC, Apple ofrece una práctica extensión del navegador que coloca sus contraseñas de iCloud directamente a su alcance sin necesidad de abrir una aplicación separada. Sin embargo, una nueva advertencia podría hacerte pensar dos veces antes de usarla la próxima vez.
Según lo informado por Hacker News, el investigador de seguridad Marek Tóth ha descubierto una nueva vulnerabilidad al modelo de objetos de documento que podría permitir a los atacantes robar los detalles de la tarjeta de crédito de los usuarios, los datos personales y las credenciales de inicio de sesión a través del llamado clickjacking o la reparación de UI. Como explican los investigadores, Clickjacking «se refiere a un tipo de ataque en el que los usuarios son engañados para realizar una serie de acciones en un sitio web que parecen aparentemente inofensivos, como hacer clic en los botones, cuando, en realidad, realizan inadvertidamente la oferta del atacante».
Si bien se han parcheado algunos defectos, varias extensiones populares de contraseñas están en riesgo, incluidas 1Password, LastPass e iCloud. Con las contraseñas de iCloud, los investigadores señalan específicamente la versión 3.1.25, que usa Firefox. Chrome usa una versión más nueva, 3.1.27, aunque parece que la falla todavía existe.
Para obtener acceso a una cuenta, un atacante necesitaría crear un sitio falso con una ventana emergente con «un formulario de inicio de sesión invisible de tal manera que hacer clic en el sitio para cerrar la ventana emergente hace que la información de la credencial sea llena automáticamente por el administrador de contraseñas y se exfila a un servidor remoto». Entonces, cuando el usuario intenta cerrar la ventana, las credenciales se llenan automáticamente.
A principios de este año, se reveló un defecto en la aplicación Passwords de Apple que podría permitir a un atacante interceptar datos confidenciales a través del tráfico HTTP no seguro. Apple parcheó esa vulnerabilidad en iOS 18.2.
Tóth dice que Apple está trabajando en una solución para la falla, mientras que 1Password y LastPass aún están investigando. Bitwarden, que también se vio afectado por el defecto, publicó una actualización para abordar el problema la semana pasada. Pero si está utilizando estas extensiones en una Mac o PC, asegúrese de que el sitio que esté utilizando sea de confianza.
