Opera es uno de los navegadores web más populares del mundo, con más de 300 millones de usuarios activos al mes. Sin embargo, recientemente se ha descubierto una vulnerabilidad grave que podría permitir a los hackers ejecutar cualquier archivo en tu ordenador, tanto si usas Windows como Mac. En este artículo, te explicaremos qué es el bug MyFlaw de Opera.
Investigadores de ciberseguridad han descubierto una vulnerabilidad de seguridad que ha sido corregida en el navegador web Opera para Microsoft Windows y Apple macOS. Esta vulnerabilidad permitía la ejecución de cualquier archivo en el sistema operativo subyacente.
La vulnerabilidad, conocida como MyFlaw, fue identificada por un equipo de investigación y aprovechaba una función llamada My Flow, que permite sincronizar mensajes y archivos entre dispositivos móviles y de escritorio a través de una extensión controlada del navegador. Esta extensión permitía sortear las medidas de seguridad del navegador y ejecutar archivos fuera de su entorno seguro.
El problema afectaba tanto al navegador Opera como a Opera GX y fue abordado mediante actualizaciones enviadas el 22 de noviembre de 2023, después de una divulgación responsable realizada el 17 de noviembre de 2023.
My Flow, que presenta una interfaz similar a un chat para intercambiar notas y archivos, permitía la ejecución de archivos a través de una interfaz web, lo que representaba un riesgo para la seguridad del sistema. Esta funcionalidad venía preinstalada en el navegador y se facilitaba mediante una extensión integrada llamada "Opera Touch Background", que se encargaba de la comunicación con la versión móvil del navegador.
Además, la extensión tenía su propio archivo de manifiesto que especificaba los permisos necesarios y su comportamiento, incluyendo la capacidad de conectarse con otras páginas web y extensiones a través de una propiedad conocida como externally_connectable.
Podría interesarte leer: Informe: Peligro de Extensiones de Navegador Maliciosas
En el caso de Opera, los dominios autorizados para comunicarse con la extensión deben coincidir con los patrones "*.flow.opera.com" y ".flow.op-test.net", controlados por el proveedor del navegador.
Esto permite que la API de mensajería sea accesible desde páginas que cumplan con estos patrones de URL, requiriendo al menos un dominio de segundo nivel, según la documentación de Google.
Por otro lado, se encontró una versión antigua de la página de inicio de My Flow alojada en el dominio "web.flow.opera.com" mediante un escaneo realizado con la herramienta urlscan.io. Aunque la página parece similar a la actual, presenta diferencias importantes: carece de la metaetiqueta de política de seguridad de contenido y contiene una etiqueta de secuencia de comandos que solicita un archivo JavaScript sin ningún control de integridad.
Estas condiciones crean una oportunidad para los atacantes, ya que pueden aprovechar este activo olvidado y vulnerable para inyectar código malicioso. Además, este activo tiene acceso a una API nativa del navegador con permisos muy elevados.
Podría interesarte leer: Comprendiendo la Nueva Campaña de Inyecciones Web
El ataque se lleva a cabo creando una extensión diseñada específicamente para hacerse pasar por un dispositivo móvil, emparejándola con la computadora de la víctima y transmitiendo una carga maliciosa cifrada a través del archivo JavaScript modificado al host para su posterior ejecución, solicitando al usuario que haga clic en cualquier parte de la pantalla.
Estos hallazgos resaltan la complejidad en aumento de los ataques basados en navegadores y los diferentes vectores que los actores de amenazas pueden explotar en su beneficio.
Opera ha respondido rápidamente para solucionar el problema y ha implementado medidas de seguridad adicionales en el servidor para evitar futuras vulnerabilidades. También están considerando mejoras en su diseño interno y en la infraestructura de Chromium para fortalecer aún más la seguridad.
Opera agradeció a los investigadores por su colaboración en la identificación de esta vulnerabilidad y destacó la importancia de trabajar con expertos en seguridad para garantizar la protección de sus productos y la seguridad en línea de sus usuarios.
Si sospechas que has sido afectado por el bug Opera MyFlaw, es importante actuar rápidamente:
Podría interesarte leer: Análisis de Malware con Wazuh
El bug Opera MyFlaw es un recordatorio crítico de la importancia de mantener nuestros dispositivos y software actualizados y seguros. Al tomar medidas proactivas y estar al tanto de las últimas amenazas de seguridad, podemos protegernos mejor a nosotros mismos y a nuestra información personal de ser comprometida. La seguridad en línea es una responsabilidad compartida, y estar informados es el primer paso hacia una navegación más segura.