Chrome 86 de Google con verificador de contraseñas entre sus mejoras de seguridad

La última versión de Google de su navegador, Chrome 86, ahora se está implementando con 35 correcciones de seguridad, incluido un error crítico, y una función que verifica si los usuarios tienen contraseñas comprometidas.

A partir del martes, Chrome 86 empezó a promocionarse para Windows, Mac y Linux, y se implementará en los próximos días. Las versiones del navegador para Android e iOS también se lanzaron el martes y estarán disponibles en Google Play y App Store esta semana.

En la versión más reciente del navegador se incluye una falla crítica (CVE-2020-15967) existente en el componente de pagos de Chrome. La falla, reportada por Man Yue Mo de GitHub Security Lab, es una vulnerabilidad de uso después de la liberación.

Usar después de liberar es un defecto de corrupción de memoria en el que se intenta acceder a la memoria después de que se haya liberado. Esto puede causar una variedad de impactos maliciosos, desde hacer que un programa se bloquee, hasta potencialmente llevar a la ejecución de código arbitrario.

Los errores de uso después de libre han afectado a Google Chrome durante el último año. De hecho, las siete vulnerabilidades de alta gravedad corregidas por Google en Chrome 86 fueron fallas de uso después de la ausencia, que van desde las que afectan la impresión de Chrome (CVE-2020-15971), audio (CVE-2020-15972), administrador de contraseñas (CVE -2020-15991) y componentes WebRTC (CVE-2020-15969) (WebRTC es un protocolo para comunicación web rich media).

Aún no se encuentran disponibles más detalles de los errores, ya que «el acceso a los detalles de los errores y los enlaces puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución», según la publicación del martes de Google.

Confirmación de contraseña

Las versiones de Android e iOS de Chrome 86 también vendrán con una nueva función de seguridad, que enviará una copia de los nombres de usuario y contraseñas de los usuarios mediante una «forma especial de cifrado». Eso le permite a Google compararlos con la lista de contraseñas que se sabe que están comprometidas.

«Las contraseñas son a menudo la primera línea de defensa para nuestras vidas digitales», dijo Abdel Karim Mardini, gerente senior de productos de Chrome, en una publicación del martes . «Hoy, estamos mejorando la seguridad de las contraseñas tanto en dispositivos Android como iOS al decirte si las contraseñas que le pediste a Chrome que recordara se han visto comprometidas y, de ser así, cómo solucionarlas».

En el back-end, cuando Google detecta un nombre de usuario y una contraseña expuestos por una violación de datos, almacena una copia cifrada y con un hash de los datos. Luego, cuando los usuarios de Chrome inician sesión en un sitio web, la función envía una versión cifrada y fuertemente cifrada de su nombre de usuario y contraseña a Google, lo que significa que la empresa nunca deriva nombres de usuario o contraseñas de la copia cifrada, dijo.

Luego, Google obtiene la base de datos encriptada de cada nombre de usuario y contraseña «inseguros» y comparte el mismo prefijo hash anónimo de los detalles de la cuenta, asegurando, dijo, que los detalles del nombre de usuario y la contraseña no se revelen durante el proceso.

El problema de la reutilización de contraseñas sigue siendo un problema básico en la industria de la seguridad y ha provocado una gran cantidad de ataques, sobre todo el relleno de credenciales . Un estudio de Google publicado en agosto de 2019 , que en realidad se basó en datos recopilados de la extensión de Chrome Password Checkup de Google, encontró que el 1.5 por ciento, o 316,000 usuarios, de los inicios de sesión en el sitio web en el navegador están utilizando contraseñas ya pirateadas.

La función de comprobación de contraseñas de Google se une a otros servicios similares, incluidos Have I Been Pwned y Firefox Monitor de Mozilla, en la lucha contra los problemas de contraseñas robadas.