De acuerdo a investigación, extensión de Skype para Chrome filtraría datos de usuarios

Más de nueve millones de instalaciones tiene la extensión, la cual, según el investigador de seguridad Wladimir Palant, tiene una vulnerabilidad que filtra datos de usuarios. Microsoft solucionó recientemente un error de privacidad en su extensión de Skype para Chrome que dejó a millones de usuarios en riesgo de que se filtrara la información de […]

Más de nueve millones de instalaciones tiene la extensión, la cual, según el investigador de seguridad Wladimir Palant, tiene una vulnerabilidad que filtra datos de usuarios.

Microsoft solucionó recientemente un error de privacidad en su extensión de Skype para Chrome que dejó a millones de usuarios en riesgo de que se filtrara la información de su cuenta.

Al centrar su atención en la extensión de Skype para Chrome, que tiene nueve millones de instalaciones, el investigador de seguridad Wladimir Palant descubrió un error “trivial” que permitía a los sitios web obtener y determinar información sobre cuentas de usuarios -lo que normalmente deberían estar fuera de esos límites-.

Según el investigador, la falla residía en la funcionalidad de seguimiento de identidad de la extensión, que podía determinar si un usuario había iniciado sesión en una cuenta de Microsoft.

Palant descubrió que el identificador de usuario se ejecutó en el script de contenido de la extensión. Sin embargo, señaló que “en un contexto de secuencia de comandos de contenido, sessionStorage ya no es el almacenamiento de la extensión, es el del sitio web. Así que el sitio web puede leerlo trivialmente”.

Lo que aparentemente los más de nueve millones de usuarios no se dieron cuenta, es que la extensión no obtuvo actualización, y la última versión tenía más de cuatro años de antigüedad, por lo que toda su funcionalidad estaba rota, reduciéndose a solo un marcador de Skype para Web.

Sin embargo, a pesar de ser esencialmente inútil, la extensión de Skype seguía siendo un riesgo para la seguridad y privacidad. Un problema el cual permitía que todos los sitios web aprendieran trivialmente la identidad del usuario si estaba conectado a su cuenta de Microsoft, lo que afectaba no solo a los usuarios de Skype, sino también a los usuarios de Office 365.

Palant dijo que reveló la falla, junto con una prueba de concepto, a Microsoft el 1 de diciembre de 2021, pero no obtuvo una respuesta sustancial del equipo de seguridad de la empresa.

Posteriormente, un representante de Microsoft afirmó que ”la compañía tiene el compromiso del cliente de investigar los problemas de seguridad informados y proporcionaremos actualizaciones para los dispositivos afectados lo antes posible”.

A medida que se acercaba la fecha límite de divulgación pública del investigador del 1 de marzo, la extensión de Skype finalmente recibió una actualización el 24 de febrero.