Sono recentemente emersi alcuni dettagli su una vulnerabilità ora corretta in Google Chrome, o per meglio dire, su Chromium il browser sul quale sono basati diversi altri browser (Brave, Opera, etc.) che, se sfruttata con successo, avrebbe potuto rendere possibile un enorme furto di dati sensibili.
Vale la pena precisare che “Chromium” è il nome del progetto Open Source di Google dal quale poi “nascono” altri browser (e ce ne sono parecchi), conseguentemente (ma non è detto, precisiamo subito per non fare allarmismo) potrebbe influire anche browser diversi da Google Chrome.
“Il problema è sorto dal modo in cui il browser interagiva con i collegamenti simbolici durante l’elaborazione di file e directory“, ha affermato il ricercatore di Imperva Ron Masas. “In particolare, il browser non controllava correttamente se il collegamento simbolico puntava a una posizione che non doveva essere accessibile, il ché consentiva il furto di file [e dati in generale] sensibili.”
Cosa non va in questo bug di Chromium?
Google ha dichiarato che il problema è di media gravità (CVE-2022-3656) come un caso di convalida dei dati insufficiente nel file system, rilasciando correzioni nelle versioni 107 e 108 rilasciate a ottobre e novembre 2022.
Soprannominata SymStealer, la vulnerabilità, al suo interno, si riferisce ad una tipologia di falla nota come collegamento simbolico (noto anche come collegamento o SymLink in lingua inglese), che si verifica quando un malintenzionato abusa della funzione per aggirare le restrizioni del file system di un programma per operare successivamente su file sui quali non dovrebbe essere autorizzato.
L’analisi di Imperva riguardo a questo meccanismo di gestione dei file di Chrome (e per estensione Chromium e gli altri browser basati sul suo codice sorgente) ha rilevato che quando un utente trascinava e rilasciava direttamente una cartella su un elemento di input del file, il browser risolveva tutti i collegamenti simbolici in modo ricorsivo senza presentare alcun avviso.
In un ipotetico attacco, un autore di attacchi hacker ignoto potrebbe indurre una vittima a visitare un sito Web fasullo e scaricare un file di archivio ZIP contenente un collegamento simbolico a un file o una cartella di valore sul computer, come le chiavi e le credenziali di Wallet (come Wallet di criptovalute).
Quando lo stesso file di collegamento simbolico viene caricato di nuovo sul sito Web come parte della serie di infezioni da parte di un malware che si avvia, ad esempio un servizio di Wallet criptato che richiede agli utenti di caricare le proprie chiavi di ripristino, la vulnerabilità potrebbe essere sfruttata per accedere al file effettivo che memorizza la chiave (password) attraversando il legame simbolico.
Per renderlo ancora più affidabile, un proof of concept (PoC) ideato da Imperva utilizza l’inganno CSS (CSS trickery) per alterare la dimensione (nel senso di megabyte o gigabyte per capirci) dell’elemento di input del file in modo tale che il caricamento del file venga attivato indipendentemente dal punto in cui la cartella viene rilasciata sulla pagina, in modo efficace consentendo il furto di informazioni.
“Gli hacker prendono sempre più di mira individui e organizzazioni che detengono criptovalute, poiché queste risorse digitali possono essere molto preziose“, ha affermato Masas. “Una tattica comune utilizzata dagli hacker è sfruttare le vulnerabilità nel software […] per ottenere l’accesso ai portafogli crittografici e rubare i fondi che contengono.”
Una cosa poco nota riguardo alcuni browser basati su Chromium
Va segnalato che molti browser basati su Chromium contengono wallet di criptovalute: due su tutti Brave e Opera; essendo il Chromium la base tecnica di Google Chrome e altri browser si consiglia (per chi può) di trovare temporaneamente wallet alternativi, possibilmente su browser non basati su di esso.
