Ataques basados en tiempos en funciones de HTML5

Una nueva función de medición de tiempo en HTML5 puede ser explotada por sitios malignos para apropiarse de información presentada en las páginas abiertas en el navegador. La charla fue presentada en Black Hat.

Expertos en seguridad informática de la empresa Context Information Security han logrado en pruebas de laboratorio extraer información confidencial de sitios web al analizar la velocidad con que los elementos CSS y gráficos SVG son generados en pantalla.

Paul Stone, analista jefe en Context declaró a la publicación The Register que la información sobre tiempo transcurrido, que puede alcanzar una precisión cercana a las millonésimas de segundo, permite determinar el color de pixeles de páginas malignas, y así reconstruir palabras y números, aparte de datos de navegación.

La función de medición de tiempo fue diseñada con el objetivo de facilitar la transición a animaciones en páginas web, y puede ser utilizada para calcular e tiempo que toma redibujar parte, o todo, el contenido de una página abierta.

Los expertos de Context crearon un procedimiento basado en JavaScript mediante el cual se aplican filtros a una página abierta, pudiendo así medir el tiempo exacto que toma presentar algunos de sus elementos. Al contar con esa información es posible determinar qué píxeles han sido activados y así identificar patrones como texto y números.

En un documento explicativo [PDF], Stone escribe que la nueva API de HTML5, "requestAnimationFrame", puede cronometrar las operaciones de visualización del navegador, e inferir datos midiendo el tiempo que toma generarlos. Instalando el JavaScript en un sitio maligno, intrusos podrían en teoría robar información al usuario.

Cabe señalar que el ataque en cuestión sólo ha funcionado en el ámbito controlado de un laboratorio, y los propios autores del informe acotan que sería un reto implementarlo eficazmente en el ciberespacio.

Con todo, recuerdan que las técnicas básicas descritas en su informe inevitablemente serán mejoradas para incrementar su velocidad, eficacia y aplicaciones reales.

Context comunicó sus conclusiones a Google, Microsoft y Mozilla Foundation. Las tres empresas estarían investigando el tema e intentando crear una protección que impida estos ataques, por ahora teóricos. Por el momento los desarrolladores puede evitar el ataque a través del Header HTTP X-Frame, la misma que se utiliza para evitar ataques de Click-Jacking.

X-Frame-Options: Deny

Acreditaciones

Contáctenos