Google Chrome - Foro de ayuda

Status sobre las técnicas malware de ataques a Chrome (nota medianamente técnica)

Alejandro Silvestri
31/08/13 7:45
Al momento de esta publicación, no hay ningún ataque conocido que vulnere la seguridad de Chrome.  El 100% de los casos reportados corresponden a aplicaciones y extensiones que el propio usuario instala, y gustosamente les otorga los permisos de seguridad que solicitan.  A continuación recopilo las técnicas que utiliza el malware una vez que el usuario lo instaló en su PC:

Extensiones malignas
Las extensiones pueden hacer mucho daño, en la medida que el usuario se les avale los permisos cuando la instala.  Al instalarlas, Chrome siempre muestra qué permisos solicita la extensión (por ejemplo, acceder a todos tus datos de Internet), y el usuario puede aceptar, o cancelar su instalación.  He aquí una lista de su comportamiento, acompañado a veces de una reseña técnica y de la medida de seguridad contra ellas.

  • Cambian la página "nueva pestaña" y suelen mostrar publicidad y algún buscador desconocido.
    • Previamente, cuando se instala Chrome advierte al usuario que esa extensión cambiará las nuevas pestañas, y el usuario pulsa Aceptar.  
  • Agregan "barras de herramientas" a las páginas que el usuario visita
  • Cierran la pestaña cuando el usuario intenta ir a la página de Extensiones.  Esto le impide al usuario desactivar la extensión
    • La extensión usa permissions: activeTab, que no requiere confirmación del usuario
  • Cierra la pestaña cuando entro a un determinado sitio
    • Es la misma técnica anterior, con permissions: activeTab

Malware instalado en tu PC
Vulgarmente (y erróneamente) conocido como "virus", las gran mayoría de los ataques que afectan a Chrome son realizadas por troyanos, programas que el propio usuario descarga, instala y le allana el camino a través de todas las barreras de seguridad de Chrome y de Windows* (* o el sistema operativo que sea), haciendo clic en Aceptar a todas las advertencias que aparecen.  Los antivirus fallan en reconocer troyanos: son antivirus, no antitroyanos.

Una vez ejecutado en Windows*, el malware usa alguna de estas técnicas para modificar Chrome, con el principal objetivo de colocar publicidad o llevar al usuario a una determinada página:

  • Instala extensiones malignas en Chrome
    • Chrome no habilita la extensión inmediatamente, sino que advierte al usuario que una aplicación externa la instaló, y solicita su confirmación
  • Modifica las preferencias del usuario: principalmente buscador predeterminado y página de inicio
    • Lo hace editando el archivo Preferences de cada perfil de usuario de Chrome
    • Errores en el malware o conflicto entre dos malwares intentando modificar el mismo archivo, pueden corromperlo, y Chrome advertirá al usuario que no puede acceder a su configuración, a veces restaurando los valores predeterminados de Chrome
  • Infecta el ícono que se usa para iniciar Chrome, de manera que abre una página indeseada
    • Lo hace modificando la línea de comando para iniciar Chrome, agregando una url como parámetro
    • Se "limpia" editando y eliminando ese parámetro, aunque lo más práctico es eliminar el ícono y copiar otro que no esté infectado
  • Reinfección
    • Algunos malwares quedan activos de forma permanente, y custodian las modificaciones que hicieron, de manera que si el usuario las deshace, el malware las repite.
    • En estos casos es imprescindible desactivar el malware antes de restaurar los cambios.  Esto requiere identificar la aplicación y desinstalarla de Windows*.  Cuando el antivirus falla en hacerlo, hay que hacerlo manualmente, investigando primero cuál es la aplicación maligna.

Las extensiones no pueden utilizar ninguna de estas técnicas; el malware tiene que ser un programa ejecutándose en Windows*, es decir, de forma totalmente independiente de Chrome.  Chrome no puede impedir que eso suceda, no está en sus manos.

Respuestas (0)