Los investigadores encontraron un defecto en Ópera GXla versión del navegador Opera centrada en los juegos, que permite a un sitio web malicioso instalar silenciosamente un complemento del navegador y utilizarlo para extraer datos específicos de las páginas que visita la víctima.
En una prueba de concepto, reconstruyeron la dirección completa de Gmail de un usuario que había iniciado sesión a partir de una sola visita, sin hacer clic. Opera ha reparado el defecto y dice que no encontró evidencia de que alguna vez se haya utilizado en la naturaleza.
La solución se envió en Opera GX versión 130.0.5847.89, por lo que cualquiera con una versión actual ya está cubierta; Puedes confirmar el tuyo en opera://about. No existe CVE.
Como el ataque no necesitaba clics ni aprobaciones, no había otra solución que el parche. El equipo de recompensas por errores de Opera calificó el problema como P1, su máxima gravedad, y pagó la recompensa máxima de 5.000 dólares por un error crítico.
Cómo funciona el ataque
GX Mods te permite cambiar el diseño de Opera GX con sonidos, temas, fondos de pantalla y CSS personalizados que modifican el estilo de los sitios que visitas. Se envían como archivos .crx, como extensiones de navegador, pero no pueden ejecutar JavaScript y no tienen permisos.
La debilidad está en cómo se instalan: la canalización de mods de Opera descarga y habilita un mod automáticamente, sin solicitar aprobación. Por lo tanto, una página maliciosa puede instalar uno de forma silenciosa, por ejemplo, cargando un iframe oculto que apunta a un archivo .crx.
La única señal es una barra de notificación debajo de la barra de direcciones que le indica que se agregó un mod, con un botón Eliminar.
Este comportamiento de instalación automática no es nuevo. el investigador Renwa lo identificó allá por 2023. y, al convertir un mod instalado en una extensión completa, lo usó para falsificar la barra de direcciones del navegador. Opera parchó ese ataque específico en marzo de 2023, pero dejó la instalación automática subyacente, que es en lo que se basa esta nueva investigación.
Un mod de apariencia silenciosa suena inofensivo por sí solo. Pero el CSS de un mod se aplica a cada página que visitas, no sólo a una. La inyección de CSS ordinaria se limita a la página a la que llega; aquí, el estilo del atacante llega a cada sitio que abre el navegador, una técnica que los investigadores llaman inyección universal de CSS.
CSS no puede leer una página y enviarla por sí solo. Pero se le puede convencer para que filtre un valor pieza por pieza. El truco se basa en selectores de atributos: una regla puede probar si el valor del atributo de un elemento, como un correo electrónico escondido en un campo oculto, comienza con una letra determinada y obtener una imagen de fondo del servidor del atacante sólo cuando lo hace. Dispara suficientes de estos y aprenderás el valor carácter por carácter.
Los investigadores llaman esto es Fuga XSabreviatura de fuga entre sitios. Para obtener una dirección de Gmail, los investigadores apuntaron a una página de cuenta de Google, myaccount.google.com/contactemail, que lleva la dirección dentro de tres de sus atributos HTML.
Empaquetaron un mod con aproximadamente 150.000 reglas CSS, un conjunto para cada posible fragmento de tres letras de la dirección, y dejaron que un script de reconstrucción uniera las coincidencias nuevamente. Primero probaron piezas de cuatro letras, que necesitaban 5,6 millones de reglas y alrededor de 880 MB de CSS. El navegador se atragantó, por lo que lo redujeron a fragmentos de tres letras que se superponen lo suficiente para volver a ensamblarse.
Encadenarlo solo requirió un empujón. La víctima llega a la página del atacante, el mod se instala en segundos y unas pocas líneas de JavaScript redirigen el navegador a la página de la cuenta de Google. El CSS del mod ya está cargado allí, por lo que activa las solicitudes y filtra la dirección a medida que se muestra la página, antes de que la víctima pueda alcanzar el botón Eliminar del aviso.
La dirección de Gmail fue sólo la prueba de concepto; El mismo enfoque puede resaltar otros valores que una página expone en su marcado, como un nombre de usuario.
La misma ruta de instalación automática tiene un segundo uso, más crudo, que documentaron los investigadores: cargar un .crx en modo privado (incógnito) bloquea el navegador y descarga todas las pestañas abiertas. Este también afecta a Opera normal, no solo a Opera GX, ya que cualquier .crx activa el proceso de instalación de extensiones, independientemente de lo que contenga. El aviso de Opera aborda la solución al robo de datos y no menciona el bloqueo.
La gravedad y el panorama general
El informe casi no obtuvo lo que se merecía. Opera ejecuta su programa de recompensas en Bugcrowd, y los analistas de clasificación tuvieron dificultades para comprender qué hacía el error, primero calificándolo como P3 mediocre.
Los investigadores presentaron su caso de una manera inusualmente directa: mientras un analista reproducía el ataque, capturaron los propios trigramas del analista, reconstruyeron la dirección de Gmail del analista y la pegaron en el informe. Luego, el equipo de Opera elevó la gravedad a P1 y pagó el máximo de nivel crítico de $5,000.
El propio relato de Opera es más mesurado. en su consultivola compañía dice que está «bastante segura» de que la falla nunca fue explotada en la naturaleza, y presenta el ataque como complicado de llevar a cabo: la víctima tuvo que aterrizar en un sitio malicioso, terminar con un mod nuevo e ignorar el aviso de eliminación el tiempo suficiente para que se activara la redirección.
La demostración de los investigadores es el contrapeso. Su redireccionamiento se ejecuta segundos antes de que un usuario pueda leer el aviso, y mucho menos hacer clic en Eliminar. Fue un ataque limitado y complicado del que Opera no encontró rastros en la naturaleza, y aún funcionó sin clics una vez que se configuró.
El riesgo aquí nunca fue la característica cosmética en sí misma. Fue alcance. Una vez que el CSS de un mod podía seguirte de un sitio a otro, «simplemente diseñar» resultó ser suficiente.
Ése es el giro de una idea familiar: el robo de sólo CSS normalmente queda atrapado en la página donde se inyecta, como en el caso de PortSwigger. Exfiltración ciega de CSS investigación, pero aquí avanzó en cada sitio que abrió la víctima.
Tampoco es la primera característica de Opera que se vuelve contra sus usuarios; Hacker News cubrió el error MyFlaw de 2024 en My Flow de Opera, y Opera había sido advertida sobre este comportamiento de instalación automática desde 2023.





