Cuidado con la nueva vulnerabilidad en el navegador Opera

Según The Hacker News , el problema está relacionado con la función My Flaw del navegador, que forma parte de la extensión Opera Touch Background y no se ha eliminado. My Flaw permite a los usuarios tomar notas y compartir archivos entre navegadores de escritorio y móviles.

Esta es una característica familiar ya que los desarrolladores de software modernos a menudo proporcionan herramientas para intercambiar datos entre computadoras y dispositivos móviles rápidamente, pero en el caso de Opera, esto tiene un costo en la seguridad.

Guardio Labs afirma que la interfaz de My Flaw funciona como un chat para compartir archivos, ofreciendo una función de "Abrir" para cualquier mensaje con archivo adjunto, lo que significa que los archivos se pueden ejecutar directamente desde la interfaz web. Esto genera un contexto web que puede interactuar con las API del sistema para ejecutar archivos desde el sistema de archivos fuera del navegador, sin necesidad de espacio aislado ni restricciones.

Además, los sitios web y las extensiones pueden conectarse a My Flaw. Esto significa que un atacante podría crear una extensión maliciosa que suplante la identidad del dispositivo móvil al que está conectado el ordenador de la víctima. Posteriormente, podría usar JavaScript para enviar un archivo malicioso que se ejecutaría al hacer clic en cualquier parte de la pantalla.

Los desarrolladores de Opera fueron notificados de la vulnerabilidad en My Flaw el 17 de noviembre del año pasado y la vulnerabilidad fue corregida el 22 de noviembre.