Mastodon Mastodon Mastodon Mastodon

Fallo crítico en GX Mods de Opera GX permitía filtrar datos

Foto del autor

CyberSecureFox Editorial Team

Publicado:

Opera ha corregido una vulnerabilidad crítica en el mecanismo GX Mods de su navegador para juegos Opera GX, que permitía a un sitio malicioso instalar un mod del navegador sin que el usuario hiciera un solo clic y, a continuación, extraer datos confidenciales —incluida la dirección de correo electrónico de Gmail— de las páginas que visitaba la víctima. La corrección se incluye en la versión 130.0.5847.89; no se le ha asignado identificador CVE. Según el boletín oficial de seguridad de Opera, no se han detectado indicios de explotación de la vulnerabilidad en ataques reales, aunque existe un PoC-exploit público. Los usuarios de Opera GX deben asegurarse de que su versión del navegador esté actualizada comprobándola en la página opera://about.

Mecanismo de ataque: de la instalación automática del mod a la filtración de datos

GX Mods es el sistema de personalización de Opera GX, que permite cambiar temas, sonidos, fondos de pantalla y estilos CSS de los sitios visitados. Los mods se distribuyen en formato .crx (de forma análoga a las extensiones), pero, según los investigadores, no pueden ejecutar JavaScript ni solicitar permisos. El problema clave residía en el flujo de instalación: Opera descargaba y activaba automáticamente el mod sin pedir confirmación al usuario.

Tal como describen los investigadores de Zhero Web Security, una página maliciosa podía iniciar la instalación del mod a través de un iframe oculto que apuntaba al archivo .crx. El único indicador visual era una barra de notificaciones bajo la barra de direcciones con un botón «Eliminar», pero el ataque se completaba en cuestión de segundos, antes de que el usuario tuviera tiempo de leer la notificación.

En sí misma, la inyección de un mod «cosmético» puede parecer inofensiva, pero el matiz crítico es que el CSS del mod se aplica a todas las páginas visitadas, y no solo a una. Los investigadores denominaron a esto inyección CSS universal, a diferencia de la inyección CSS habitual, limitada al marco de una página concreta. Este concepto amplía técnicas previamente documentadas, como Blind CSS Exfiltration de PortSwigger, en las que la exfiltración mediante CSS permanece dentro de los límites de un único sitio.

Técnica XS-Leak: extracción carácter a carácter de datos mediante CSS

CSS no puede leer directamente el contenido de una página ni enviarlo a un servidor externo. Sin embargo, según los investigadores, utilizando selectores de atributos de CSS es posible comprobar si el valor de un atributo de un elemento HTML comienza por una determinada secuencia de caracteres y, en caso de coincidencia, cargar una imagen de fondo desde el servidor del atacante. Al iterar sobre todas las combinaciones posibles, el atacante reconstruye el valor carácter a carácter: una técnica clásica de XS-Leak (cross-site leak).

Para la demostración, los investigadores se centraron en la página myaccount.google.com/contactemail, donde la dirección de correo electrónico está presente en tres atributos HTML. El mod contenía en torno a 150 000 reglas CSS que cubrían todos los posibles fragmentos de tres caracteres (trigramas) de la dirección. Un script en el lado del atacante recopilaba las coincidencias y reconstruía la dirección completa. Es reseñable que el intento inicial con fragmentos de cuatro caracteres requirió alrededor de 5,6 millones de reglas y ~880 MB de CSS, lo que provocó el rechazo del navegador.

La cadena de ataque tenía el siguiente aspecto: la víctima accede a una página maliciosa → el mod se instala en cuestión de segundos → JavaScript redirige el navegador a la página de la cuenta de Google → el CSS del mod ya está activo y, al renderizar la página, envía peticiones al servidor del atacante. Todo el proceso no requería ningún clic.

Antecedentes: una advertencia de 2023 ignorada

La instalación automática de mods sin confirmación no era un problema nuevo. Como describió el investigador Renwa ya en 2023, esta misma característica podía utilizarse para escalar un mod instalado a una extensión completa y suplantar la barra de direcciones del navegador. Opera eliminó el vector concreto de suplantación de la barra de direcciones, pero, según los datos disponibles, dejó sin cambios el mecanismo básico de instalación automática, precisamente el que sustenta el nuevo ataque.

Vulnerabilidad adicional: cierre forzoso en modo privado

Los investigadores también documentaron un segundo vector, más tosco: la carga de un archivo .crx en modo privado (Incognito) provocaba el cierre inesperado del navegador con la pérdida de todas las pestañas abiertas. Según los investigadores, este problema afectaba no solo a Opera GX, sino también al Opera «normal», ya que cualquier archivo .crx activaba el flujo de instalación de extensiones. Cabe destacar que el boletín de seguridad de Opera no menciona este problema, y no hay confirmación independiente de su impacto en el Opera estándar en las fuentes disponibles.

Proceso de divulgación y evaluación de gravedad

Según los investigadores, el proceso de divulgación a través de la plataforma Bugcrowd no fue fluido: los analistas de triaje evaluaron inicialmente la vulnerabilidad como P3 (gravedad media). Para demostrar la verdadera magnitud de la amenaza, los investigadores interceptaron los trigramas del propio analista, reconstruyeron su dirección de Gmail y la insertaron en el informe. Después de esto, la calificación se elevó a P1 (máxima gravedad) y, según se informa, se les otorgó a los investigadores la recompensa máxima de 5 000 dólares.

Opera, en su boletín, caracteriza el ataque como complejo de llevar a cabo: la víctima debía acceder a un sitio malicioso, recibir la instalación del mod y no llegar a pulsar el botón de eliminación antes de que concluyera la redirección. Sin embargo, la demostración de los investigadores muestra que la redirección se ejecutaba en cuestión de segundos, más rápido de lo que el usuario podía leer la notificación.

Evaluación del impacto

La vulnerabilidad afectaba a los usuarios de Opera GX en versiones anteriores a la 130.0.5847.89. Aunque el PoC probado solo extraía la dirección de Gmail, los investigadores señalan que el mismo enfoque es aplicable a cualquier valor que un sitio coloque en atributos HTML: nombres de usuario, identificadores y otros datos. La audiencia de Opera GX está orientada a jugadores que utilizan activamente mods y personalización, lo que hace que la ingeniería social para atraer a una página maliciosa pueda resultar potencialmente más efectiva.

Recomendaciones

  • Actualice Opera GX a la versión 130.0.5847.89 o posterior. Compruebe la versión actual en la página opera://about.
  • Revise la lista de mods instalados y elimine cualquier GX Mods desconocido o que haya aparecido de forma inesperada.
  • No existe una solución alternativa aparte de la actualización: el ataque no requería acciones del usuario y no podía bloquearse a nivel de configuración.
  • Las organizaciones que permitan el uso de Opera GX en entornos corporativos deberían incluir este navegador en sus políticas de actualización forzosa.

Este caso demuestra de forma clara cómo una función de personalización «inofensiva» —estilos CSS sin JavaScript ni permisos— se convierte en un vector de fuga de datos cuando su ámbito de aplicación se extiende a todos los sitios visitados y la instalación se produce sin el consentimiento del usuario. Opera ha corregido la vulnerabilidad concreta, pero la lección arquitectónica de fondo es más amplia: cualquier mecanismo que inserte automáticamente contenido en el contexto de páginas web arbitrarias requiere una confirmación explícita del usuario, independientemente de lo limitado que parezca ese contenido.


CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.