Robando claves por XSS del Administrador de Contraseñas del Firefox

16 marzo 2010 14 Comentarios

Gracias a un mensaje de Tom Brennan, me entero de un problema en el Administrador de Contraseñas del Mozilla Firefox, que permite a un atacante mediante XSS (Cross-site scripting) obtener la clave de un usuario almacenada en el navegador.

El problema se encuentra en que el administrador de contraseñas del Mozilla Firefox , no valida adecuadamente el formulario desde el cual se guarda la clave en el administrador de contraseñas, por lo tanto si a la pagina donde se encuentra el formulario de logueo se le puede realizar un XSS es posible agregar un formulario con un campo oculto del tipo “password” y al acceder a ella, firefox no solo llenara el formulario real de acceso automáticamente, sino también el formulario oculto que acabamos de inyectar.

Si le echamos un vistoso al formulario utilizando el plugin Web Developer para el Mozilla Firefox, encontramos que efectivamente el Administrador de Contraseñas, nos llenó el formulario oculto que colocamos en la pagina mediante XSS con nuestra clave de acceso:

El código utilizado para robar la información del Administrador de contraseñas en el Mozilla Firefox:

<script> document.write('<form><input id=p type=password style=visibility:hidden></form>'); setTimeout('alert("Password: " + document.getElementById("p").value)', 100); </script>

Podemos modificar el formulario para que nos envié la contraseña capturada a un archivo en el que puede ser almacenada o enviada por correo electrónico, pero en esta prueba de concepto no lo realizaremos.

En este caso contar con “clave maestra” en el administrador de contraseñas del Mozilla Firefox no supone una “barrera” para que obtengan nuestras claves, ya que una vez ingresada la clave maestra, el Firefox llenara de todas formas el formulario con nuestra clave.

Aunque posiblemente una técnica similar pueda funcionar en otros navegadores, he realizado pruebas en Google Chrome, Safari y Opera siendo el Mozilla Firefox el único afectado.

Actualización:
Un fallo similar fue reportado en el 2006 y supuestamente fue resuelto “VERIFIED FIXED”, pero acabo de probar con la prueba de concepto que publicaron en esa ocasión y sigue siendo vulnerable.

Recomendaciones:

Escribe “about:config” en la barra del Firefox para desactivar (poner en “false”) la función signon.autofillForms

Con esto deshabilitas la función de auto llenado del administrador de contraseñas y evitarnos ser victimas de este fallo.

Utilizar el plugin NoScript (si no hay inyección de código, no hay problema)
No utilizar el Administrador de Contraseñas de Mozilla Firefox (ya hemos demostrado que no es recomendable, ni en firefox, ni en ningún navegador), en vez de el utilizar servicios gratuitos como LastPass (al que por cierto le debo un articulo entero)

Mas Información:
XSS demo for stealing passwords from the Firefox password manager

Si te ha gustado el post, compartelo y ayudanos a crecer.

También puede interesarte...

Zemanta

Seguridad Web

Administrador, Clave, Contrasena, Contraseñas, Inyección, Mozilla Firefox, NoScript, Password, Passwords, Robar, Robo, XSS

About DragoN

Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales. Information Security Researcher con más de 10 años de experiencias en Ethical Hacking, Pen Testing y Análisis Forense. Docente Universitario en Pre y Post-Grado, Speaker y Organizador de diferentes eventos de Seguridad Informática, Co-Fundador del ACK Security Conference y Creador de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de habla hispana y referente en el sector.

View all posts by DragoN →

Análisis del Fallo en el Generador de Números Aleatorios de OpenSSL/Debian

Skipfish, escáner de seguridad para aplicaciones web

14 Respuestas para “Robando claves por XSS del Administrador de Contraseñas del Firefox”

Han Responder 16 marzo 2010 en 8:53 PM

O.o
c1b3rh4ck Responder 16 marzo 2010 en 10:47 PM

muy buueno graciasss me servira para mis practicas …
looc Responder 17 marzo 2010 en 4:22 PM

Juazzz. Como no recomiendan migrar a IE? Después resulta que Firefox es lo mas seguro…
Caralu74 Responder 22 marzo 2010 en 6:14 PM

Bastante interesante el articulo. ¡Que tal el KeePass como administrador de contraseñas!
http://keepass.info/ a mi me ha resultado bastante útil. Además es software libre.
miguelator Responder 9 agosto 2010 en 4:25 PM

Hola tengo un problema de hace un par de dias con firefox 3.6.8 en windows 7 , tenia tres certificados personales dos de la fnmt y uno de banesto , protegidos por contraseña maestra, y primero me desactiva la contraseña maestra y luego me mueve los certificados personales a personas ó a servidores ó a otros con lo cual decidí eliminar los certificados en espera de solucionarlo por si acaso al final desaparecen ¿podriais ayudarme con esto?
muchas gracias
Roberto Responder 25 agosto 2010 en 7:51 PM

Hmmm… una duda, ¿cuál sería la diferencia con LastPass que al parecer recomiendas? ¿Sólo un cifrado más fuerte? Gracias.
- DragoN Responder 25 agosto 2010 en 9:45 PM
  
  la posibilidad de acceder a nuestras contraseñas desde cualquier parte, poder utilizar claves de 1 solo uso, loguearse a los sitios sin ingresas claves (visitando un enlace), entre otras.
  - roberto Responder 14 abril 2011 en 8:55 PM
    
    hola quiero recuperar una comtraseña
    quien me enseña
jarve Responder 2 septiembre 2010 en 9:54 PM

kiero mi fb melo robaron
katy Responder 21 enero 2011 en 8:39 AM

PORFAAA ayudenme a recuperar mi facebook =(
ayer comentaba unas fotos cuando empece a etiquetar algunos amigos y de repent en algunas fotos me aparecia para ke copiara un codigo, las evadia.. pero en un momento copie el codigo y despues, desd entonces no puedo ingresar mas a mi facebook =(
valeska olivos Responder 7 febrero 2011 en 1:06 AM

hola mi nombre es valeska .y cuando quice habrir mi face no me habrio ya q decia que mi contreseña era incorrecta..y yo estoy segura q no era incorrecta. y cuando intente cambiarla me decia que habia exedido en los limites de errores…no puedo ingresar y necesito ayuda e intentado todo y no me resulta nada que debo hacer?………….
Brenda Responder 23 febrero 2011 en 2:30 PM

Hola mi nombre es brenda :/ ayer mi face estaba jalando muy bien total hoy entro y me dice que ah sido desactivada por que es falso y no es real algo asi se fueron todas mis fotos esta desactivado ayudanme a recuperarlo porfabor:/
sam Responder 8 junio 2011 en 11:36 AM

COmoA puedo robar la CONTRASEÑA DEL ADMINISTRADOR DEL PORTATIL DE MI NOVIA SIN QUE SE CUENTA GRACIAS.

Trackbacks/Pingbacks

Claves del pasado para una web del futuro | Security Art Work - 17 abril 2012
[...] Para empeorar aún más esta situación, la mayoría de usuarios acabamos tirando del recurso fácil que son los navegadores y la funcionalidad habitual de “recordar contraseña”, olvidando en la gran mayoría de casos que las claves se guardan en texto plano, y que cualquier persona con acceso al navegador dispone de acceso inmediato a nuestras cuentas de correo, foros, y servicios 2.0 de todo tipo. Si esto no fuese suficiente, para acabar de rematar la faena, DragonJar indica que es posible robar contraseñas del gestor de claves de Firefox por XSS. [...]

Robando claves por XSS del Administrador de Contraseñas del Firefox

Recomendaciones: