Ya lo hemos dicho tantas veces que casi me cuesta trabajo repetirlo en tantos post, pero como de hecho es una constante en materia de hacking y seguridad, volveremos al mantra tantas veces mencionado: La comodidad en materia de software y tecnología, está reñida con la seguridad.
Es decir, y expandiendo un poco más esta norma no escrita: Cuantos mayores grados de comodidad para el usuario se implementan en los productos de software y hardware, más posibilidades hay de que su seguridad y privacidad estén en peligro o sean vulnerables.
Lo que traemos hoy es otro ejemplo práctico de cómo sacarle partido a esta regla.
Usando un navegador para dinamitar las contraseñas que un usuario tenga en otro navegador.
Como sabéis, la lucha de los navegadores por convertirse en nuestro software de cabecera cuando navegamos por Internet, comenzó en los 90. Por aquel entonces, un recién llegado Netscape Navigator que empleaba software libre para su desarrollo y expansión, se las vio durante años con Internet Explorer de Microsoft, que terminó imponiéndose (todavía no sé muy bien por qué, pero no me hagáis caso porque yo no soy imparcial en esto) y Netscape, sencillamente, terminó desapareciendo tras ceder toda la cuota de mercado que lo hacía viable.
Hoy en día se ha heredado esa tradición de que los distintos navegadores peleen por ganar cuota de ordenador, para aspirar a ser el más usado, en más instalado y empleado en dispositivos personales de todo el planeta.
Ahora tenemos a Explorer (desaparecido como tal y que en breve reaparecerá bautizado como Microsoft Edge); También tenemos a Chrome de Google (haciendo de las suyas con la fuerza que le da su preminencia en Android); Y tenemos a Mozilla Firefox, el más admirado y respetado por muchos, aunque otros no lo pueden ni ver…
El caso es que, una vez más, tanto Microsoft, como Google o Mozilla (así como los desarrolladores de Opera y demás navegadores secundarios) pugnan por (una vez que te los has instalado) convertirse en tu “navegador predeterminado”. Es decir, que sea su programa y no el de la competencia el que uses tanto tú como tu PC para abrir, ejecutar, navegar y visualizar todo lo que tenga que ver con la Red.
Hasta ahí algo normal teniéndose en cuenta todo ese rollo de la libre competencia y demás. Pero, claro, tantas facilidades quieren incluir entre las comodidades que se lleva el usuario cuando se descargan e instalan un nuevo navegador, que empiezan a aparecer las vulnerabilidades y los “huecos” por los que nuestra seguridad, intimidad y privacidad se vean comprometidas a manos de algún listo que se estudie la materia y se aproveche de nuestra buena ignorancia.
El paso a paso; Sencillo, sencillo…
Por ejemplo, si descargamos Mozilla a un PC encontramos la muy famosa función de “importar” los valores predeterminados que el usuario de ese ordenador tenga en el navegador que use comúnmente (y que no sea Mozilla Firefox).
Es decir, supongamos a un usuario que usa Chrome o Explorer para navegar comúnmente y que tiene activada en uno u otro navegador las funciones de “autocompletado” de contraseñas, para acceder más rápido a su email, a sus redes sociales, perfiles etc…
En ese caso, nosotros (que desconocemos esas contraseñas) sólo tenemos que descargar Mozilla Firefox (que es el navegador con el que he hecho la prueba) y aceptar durante el proceso de instalación la opción de “importar marcadores, autocompletar, contraseñas, historial de navegación etc… de otros navegadores”.
Y ya la tenemos liada.
No soy el usuario del equipo que estoy hackeando.
Yo sólo pasaba por allí y me he descargado e instalado un navegador distinto al que usa el legítimo propietario del equipo.
El nuevo navegador me da la opción de importar sus contraseñas guardadas y el historial, entre otras lindezas de comodidad.
Y yo lo único que tengo que hacer es permitir que el nuevo navegador me abra los buzones de email, los perfiles del usuario en las redes sociales y demás puertas cerradas cuyas contraseñas ha importado el nuevo navegador, creyendo que está ofreciendo comodidad al legítimo usuario del equipo.
Así, con muy poco tiempo de acceso al ordenador de la persona hackeada, puedo abrir su correo sin saber ni llegar a ver sus contraseñas, dado que el nuevo navegador me las colocará en asterisco, pero me las facilitará con el “autocompletado” que he habilitado.
Simple, anónimo y, a todos los efectos, siendo el propio usuario legítimo quien ha accedido a sus cuentas de email o redes sociales.
Otro cómodo hackeo realizado gracias, una vez más, a esas funciones que los desarrolladores de software implementan para hacer la vida más fácil y cómoda a los usuarios de los programas, sin pensar en que NO todo el mundo detrás de un teclado, es el propietario del equipo o el legítimo titular de los servicios.
Saludos a todos.
5 comentarios en “Hackeando contraseñas con Firefox”
Iñigo Asin
Sonaba mejor el proyect spartan y su icono, tenia como mas fuerza y mas cambio! xD
Miguel Robles
Una dudilla…si importa las contraseñas autocompletadas de su browser predeterminado, me pregunto…ya que tienes acceso físico al ordenador, no es más fácil abrir directamente su browers predeterminado y olvidarte de instalar firefox? xD.
Ya que tiene las contraseñas autoguardadas, vas a poder ver sus cuentas de correo igual…
¿no?
SomosBinarios
Si, pero bajo este post subyace otra idea. La idea de que las contraseñas guardadas en los navegadores no se cifran y es por ello que otros navegadores las pueden recuperar, lo que da pie ha realizar un programa que robe contraseñas guardas en los navegadores y las envié a un servidor remoto.
Pero yo no he dicho nada eh 😉
José Luis Cánovas Sánchez
Un detalle, el internet Explorer desaparecerá de Windows 10, para uso común, pero permanecerá sobretodo por empresas cuya intranet funciona con IE. Edge (o project Separan) es otro navegador nuevo, con un muy desafortunado icono, pero reescrito desde cero, por lo que no se debería decir “que en breve reaparecerá bautizado como Microsoft Edge”, porque no son lo mismo.
Para añadir al artículo, en donde esté el autocompletado con asteriscos, con darle a clic derecho, inspeccionar elemento y cambiar el tipo del campo a texto plano, la contraseña es totalmente legible.
Alquimista
Muchas gracias por tus apreciaciones José Luís.
Al respecto del navegador Edge de Microsoft, lo que quería expresar en mi artículo, es que será el sustituto de Explorer, no que al ser rebautizado sea el Explorer pero con distinto nombre.
En efecto, será un navegador diferente y completamente nuevo, aunque en lo del logo estoy contigo… Es una simple copia del Explorer de toda la vida.
Alquimista
Alquimista