Categorías: Seguridad

Hackeando contraseñas con Firefox

Ya lo hemos dicho tantas veces que casi me cuesta trabajo repetirlo en tantos post, pero como de hecho es una constante en materia de hacking y seguridad, volveremos al mantra tantas veces mencionado: La comodidad en materia de software y tecnología, está reñida con la seguridad.

Es decir, y expandiendo un poco más esta norma no escrita: Cuantos mayores grados de comodidad para el usuario se implementan en los productos de software y hardware, más posibilidades hay de que su seguridad y privacidad estén en peligro o sean vulnerables.

Lo que traemos hoy es otro ejemplo práctico de cómo sacarle partido a esta regla.

Usando un navegador para dinamitar las contraseñas que un usuario tenga en otro navegador.

Como sabéis, la lucha de los navegadores por convertirse en nuestro software de cabecera cuando navegamos por Internet, comenzó en los 90. Por aquel entonces, un recién llegado Netscape Navigator que empleaba software libre para su desarrollo y expansión, se las vio durante años con Internet Explorer de Microsoft, que terminó imponiéndose (todavía no sé muy bien por qué, pero no me hagáis caso porque yo no soy imparcial en esto) y Netscape, sencillamente, terminó desapareciendo tras ceder toda la cuota de mercado que lo hacía viable.

Hoy en día se ha heredado esa tradición de que los distintos navegadores peleen por ganar cuota de ordenador, para aspirar a ser el más usado, en más instalado y empleado en dispositivos personales de todo el planeta.

Ahora tenemos a Explorer (desaparecido como tal y que en breve reaparecerá bautizado como Microsoft Edge); También tenemos a Chrome de Google (haciendo de las suyas con la fuerza que le da su preminencia en Android); Y tenemos a Mozilla Firefox, el más admirado y respetado por muchos, aunque otros no lo pueden ni ver…

El caso es que, una vez más, tanto Microsoft, como Google o Mozilla (así como los desarrolladores de Opera y demás navegadores secundarios) pugnan por (una vez que te los has instalado) convertirse en tu “navegador predeterminado”. Es decir, que sea su programa y no el de la competencia el que uses tanto tú como tu PC para abrir, ejecutar, navegar y visualizar todo lo que tenga que ver con la Red.

Hasta ahí algo normal teniéndose en cuenta todo ese rollo de la libre competencia y demás. Pero, claro, tantas facilidades quieren incluir entre las comodidades que se lleva el usuario cuando se descargan e instalan un nuevo navegador, que empiezan a aparecer las vulnerabilidades y los “huecos” por los que nuestra seguridad, intimidad y privacidad se vean comprometidas a manos de algún listo que se estudie la materia y se aproveche de nuestra buena ignorancia.

El paso a paso; Sencillo, sencillo…

Por ejemplo, si descargamos Mozilla a un PC encontramos la muy famosa función de “importar” los valores predeterminados que el usuario de ese ordenador tenga en el navegador que use comúnmente (y que no sea Mozilla Firefox).

Es decir, supongamos a un usuario que usa Chrome o Explorer para navegar comúnmente y que tiene activada en uno u otro navegador las funciones de “autocompletado” de contraseñas, para acceder más rápido a su email, a sus redes sociales, perfiles etc…

En ese caso, nosotros (que desconocemos esas contraseñas) sólo tenemos que descargar Mozilla Firefox (que es el navegador con el que he hecho la prueba) y aceptar durante el proceso de instalación la opción de “importar marcadores, autocompletar, contraseñas, historial de navegación etc… de otros navegadores”.

Y ya la tenemos liada.

No soy el usuario del equipo que estoy hackeando.

Yo sólo pasaba por allí y me he descargado e instalado un navegador distinto al que usa el legítimo propietario del equipo.

El nuevo navegador me da la opción de importar sus contraseñas guardadas y el historial, entre otras lindezas de comodidad.

Y yo lo único que tengo que hacer es permitir que el nuevo navegador me abra los buzones de email, los perfiles del usuario en las redes sociales y demás puertas cerradas cuyas contraseñas ha importado el nuevo navegador, creyendo que está ofreciendo comodidad al legítimo usuario del equipo.

 Así, con muy poco tiempo de acceso al ordenador de la persona hackeada, puedo abrir su correo sin saber ni llegar a ver sus contraseñas, dado que el nuevo navegador me las colocará en asterisco, pero me las facilitará con el “autocompletado” que he habilitado.

Simple, anónimo y, a todos los efectos, siendo el propio usuario legítimo quien ha accedido a sus cuentas de email o redes sociales.

Otro cómodo hackeo realizado gracias, una vez más, a esas funciones que los desarrolladores de software implementan para hacer la vida más fácil y cómoda a los usuarios de los programas, sin pensar en que NO todo el mundo detrás de un teclado, es el propietario del equipo o el legítimo titular de los servicios.

 

Saludos a todos.

Alquimista

Hackeando la vida de 8 a 14 horas. Escribo con pseudónimo porque mucho de lo que se escribe debe ser anónimo en materia de seguridad y hacking. Creo en un conocimiento libre, en un pensamiento libre, en un software libre y, en suma, en una mente libre. Década y media de experiencia en materia de hacking y seguridad informática y no informática.

Share
Publicado por
Alquimista

Recent Posts

Docker: conceptos principales y tutorial paso a paso

Hoy queremos hablaros de Docker un proyecto que cada día es más usado, porque permite…

3 años hace

Crea diagramas rápidamente usando código

Cada vez estamos más acostumbrados a usar código para generar la infraestructura (IaC), documentar nuestro…

3 años hace

Procesamiento del lenguaje natural con ElasticSearch

Uno de los problemas que se presentan con una mayor frecuencia hoy en día, es…

4 años hace

Elige tecnología clásica y aburrida

Uno de los problemas que solemos tener los programadores, es que nos gusta estar a…

4 años hace

Cómo usar Docker en Windows

Docker es una de las herramientas más usadas por los desarrolladores, sin embargo, usarlo en…

4 años hace

Analiza el coste del uso de JavaScript

Como seguramente sabrás el uso de JavaScript ha crecido exponencialmente en los últimos tiempos, sin…

5 años hace