Un fallo de seguridad en la página web corporativa que podría provocar el robo de datos de los usuarios
hasta tal punto que la cuenta utilizada para acceder a dicho portal
podría llegar a verse secuestrada por terceras personas utilizando el ataque XSS.
El fallo de seguridad, que ha sido descubierto por un hacker de 16
años, podría provocar que los datos de los usuarios de navegación y de
acceso a dicha página web fuesen robados utilizando simplemente un
ataque XSS, del cual ya hemos hablado aquí más veces, y una cookie que es utilizada por la página.
Algunos ejemplos de páginas de HTC que se verían afectados por este fallo de seguridad serían:
¿Qué supone la utilización del ataque XSS?
Este tipo de ataque supone que el atacante pueda introducir código en
la página que el usuario visita y poder ejecutarlo para por ejemplo
crear ventanas emergentes. Estas ventanas podrían ser utilizadas para
que el usuario insertase sus credenciales de acceso al servicio u otro
tipo de datos personales. El usuario lo vería como una menú emergente
dentro de la página del fabricante de dispositivos móviles y que sería
utilizada posteriormente para redirigir los datos solicitados y
obtenidos del usuario a un servidor o a una dirección de correo.
Las cookies mantienen iniciada la sesión en distintos equipos
El investigador también ha podido comprobar como extrayendo las cookies de la página de HTC teniendo iniciada la sesión, se puede ir a otro equipo e iniciar sesión sin necesidad de insertar credenciales de acceso, tan solo copiando la cookie extraída del otro equipo. Esto es un grave fallo de seguridad, ya que si la navegación web del usuario es interceptada y las cookies son robadas, terceras personas podrían iniciar sesión en la páginas utilizando la identidad del usuario.
Por desgracia, este fallo no es único de HTC, ya que a día de hoy existen muchas páginas de internet que los utilizan, poniendo en peligro los datos de los usuarios y lo que es más importante, su identidad en esas páginas.
No hay comentarios:
Publicar un comentario