Detectado un fallo crítico en una extensión de Evernote para Chrome

  • Vulnerabilidades

La vulnerabilidad que afecta a la extensión Evernote Web Clipper podría haber expuesto los datos de más de 4,6 millones de usuarios. Los investigadores revelaron el fallo a Evernote el 27 de mayo, y la compañía lanzó una actualización el 4 de junio.

RECOMENDADOS:

Tecnologías que dan al dato el protagonismo que merece (WEBINAR) 

Cinco retos de la innovación en cloud

Informe IT Trends 2019: La realidad digital de la empresa española

Mejores prácticas para implementar una plataforma ágil

Robo de credenciales: prioriza la seguridad de tus apps

Instalación de Redes WiFi y LAN en Hoteles

Un fallo crítico en una popular extensión de Evernote podría haber permitido a los atacantes robar datos personales, incluidos correos electrónicos y transacciones financieras, de millones de usuarios. De acuerdo con investigadores de Gaurdio, la vulnerabilidad afecta a la extensión Evernote Web Clipper para el navegador Chrome, que permite a los usuarios capturar artículos de página completa, imágenes, texto seleccionado, correos electrónicos y más. Debido a su elevada popularidad pone en riesgo los datos personales de más de 4,6 millones de usuarios.

"Tras una explotación exitosa, una visita a un sitio web controlado por hackers comprometería los datos privados del visitante de sitios web de terceros afectados", explican los investigadores. En su prueba de concepto, Guardio ha demostrado tener acceso a las redes sociales (leer y publicar contenido), al historial de transacciones financieras, a las listas de compras privadas y más de los usuarios.

Para habilitar las funcionalidades de la extensión de Evernote (como resaltar o hacer una captura de pantalla del contenido de los sitios web), se inyecta un archivo JavaScript en las páginas web que usan la extensión. Sin embargo, un error de codificación lógica (CVE-2019-12592) deja una función, que se utiliza para pasar una URL desde el sitio web al espacio de nombres de la extensión, desprotegida. Eso significa que los atacantes pueden inyectar su propio script en la página web, lo que les da acceso a información confidencial del usuario.

"La vulnerabilidad es provocada por el sitio web malicioso y hace que la infraestructura interna de Evernote inyecte una carga útil controlada por el atacante en todos los contextos de iframes", señalan los investigadores.

Los investigadores revelaron el fallo a Evernote el 27 de mayo, y la compañía lanzó una actualización el 4 de junio. Se recomienda a los usuarios de Evernote que actualicen a la versión 7.11.1 o posterior.