Jueves, Mayo 24, 2018

¿Utilizas Grammarly? Su extensión para Chrome y Firefox permitió el robo de tus datos

grammarly

Las extensiones se están convirtiendo en la peor pesadilla de los usuarios conforme se van descubriendo nuevos agujeros de seguridad en las mismas que ponen en peligro sus datos. Todas las semanas tenemos al menos un caso sonado de una extensión que empieza a minar criptomoneda o de una extensión que cuela spyware en el ordenador del usuario. El caso de hoy tiene que ver con de Grammarly, cuya extensión para Chrome y Firefox permitió el robo de tus datos.

Una vulnerabilidad crítica detectada en las extensiones para Google Chrome y Mozilla Firefox del software Grammarly para comprobar la gramática y escritura deja expuestos los datos de 22 millones de cuentas de usuario. Esto incluye sus datos personales y otros datos de interés que pueden ser conseguidos fácilmente por ciberdelincuentes.

La extensión Grammarly para Chrome y Firefox dejó expuestos los datos personales

Según Tavis Ormandy, conocido por su trabajo como investigador de seguridad en Google Project Zero, el pasado 2 de febrero se descubrió una vulnerabilidad en las extensiones para Chrome y Firefox de Grammarly que dejaba expuestos los tokens de validación y cualquier página podía aprovechar para robar datos de forma remota. Además, sólo eran necesarias 4 líneas de código JavaScript.

En resumen, cualquier página visitada por un usuario de Grammarly podría robarle sus datos de autenticación. Esto es más que suficiente para acceder a su cuenta personal y a todos los documentos, historial, registros y otros datos sin su permiso. Para Ormandy, estamos ante una vulnerabilidad muy grave porque supone “una violación severa del usuario”.

Explica que estos “no esperan que cualquier página web visitada sea capaz de conseguir el permiso necesario para acceder a documentos y datos almacenados en otra página web que nada tiene que ver al respecto”. Para más información, ha publicado una prueba de concepto con 4 líneas de código que os dejamos a continuación.

Grammarly

Según parece, el equipo de Grammarly fue avisado el viernes y la vulnerabilidad estaba resuelta el lunes siguiente. Realmente, es un tiempo muy corto para solucionar un fallo de este calado y desde Google Project Zero reconocen el buen trabajo realizado. Desde Grammarly no tienen constancia de usuarios afectados, aunque tampoco estaría de más cambiar la contraseña y el usuario del servicio por lo que pudiera haber pasado.

 

Fuente: thehackernews | adslzone

¿Quién está en línea?

Hay 268 invitados y ningún miembro en línea

Contador de Visitas

12034815
Hoy Hoy 1215
Ayer Ayer 1711
Esta semana Esta semana 6302
Este mes Este mes 52152
Total de Visitas Total de Visitas 12034815

Día con más
visitantes

04-28-2018 : 2824

Gracias por su visita