Vulnerabilità Critica nel Browser Opera: Il Bug MyFlaw Permetteva a Hacker di Eseguire Qualsiasi File su Windows e macOS
In una recente divulgazione, i ricercatori di sicurezza di Guardio Labs hanno scoperto una grave vulnerabilità nel browser web Opera che avrebbe potuto esporre gli utenti a un potenziale esecuzione remota di codice sia su Microsoft Windows che su Apple macOS. Chiamato “MyFlaw”, questo difetto era legato a una specifica funzione di Opera nota come My Flow, progettata per sincronizzare messaggi e file tra dispositivi mobili e desktop.
La falla sfruttava la funzione My Flow attraverso un’estensione del browser controllata, aggirando efficacemente la sandbox del browser e l’intero processo del browser. Ciò consentiva agli attaccanti di eseguire qualsiasi file nel sistema operativo sottostante, rappresentando un serio rischio per la sicurezza degli utenti.
Opera ha prontamente affrontato il problema in seguito a una divulgazione responsabile il 17 novembre 2023, rilasciando aggiornamenti il 22 novembre 2023. La vulnerabilità ha colpito sia il browser Opera standard che la sua controparte dedicata al gaming, Opera GX.
My Flow, una funzione che offre un’interfaccia simile a una chat per lo scambio di note e file tra dispositivi, è stata al centro di questa lacuna nella sicurezza. In particolare, la falla consentiva l’apertura di file tramite un’interfaccia web, consentendo l’esecuzione di file al di fuori dei confini di sicurezza del browser.
Il problema derivava dall’estensione preinstallata “Opera Touch Background”, responsabile di facilitare la comunicazione di My Flow con il suo omologo mobile. L’estensione, con il proprio file di manifesto che specifica autorizzazioni e comportamento, esponeva l’API di messaggistica a qualsiasi pagina corrispondente a specifici modelli di URL.
Guardio Labs ha individuato una versione “dimenticata” della pagina di destinazione di My Flow ospitata sul dominio “web.flow.opera.com”, priva di misure di sicurezza cruciali. Questa scoperta ha aperto una via per potenziali attaccanti per iniettare codice dannoso nell’asset vulnerabile, sfruttando le sue autorizzazioni di alto livello.
La catena di attacco coinvolgeva la creazione di un’estensione appositamente progettata che si fingeva essere un dispositivo mobile. Questa estensione si associava al computer della vittima, trasmettendo un carico dannoso crittografato tramite un file JavaScript modificato. All’utente veniva quindi chiesto di fare clic ovunque sullo schermo, agevolando l’esecuzione del payload dannoso.
Questo episodio mette in luce la crescente complessità degli attacchi basati sul browser e le diverse vie che gli attori minacciosi possono sfruttare a loro vantaggio. Guardio Labs ha sottolineato la potenza delle estensioni per gli hacker, anche in ambienti sandbox, evidenziando la necessità di cambiamenti interni e miglioramenti infrastrutturali.
Opera ha risposto prontamente, chiudendo la falla di sicurezza e implementando una correzione lato server. L’azienda ha assicurato agli utenti il proseguimento degli sforzi per evitare problemi simili in futuro. Questo episodio sottolinea l’importanza della continua collaborazione tra i fornitori di browser e gli esperti di sicurezza per garantire un’esperienza online sicura per gli utenti.