¿Puede contraer el virus simplemente visitando un sitio web en Chrome?

Se admite que los ataques de descarga directa solo se producen gracias a la interacción del usuario como fue el caso, por ejemplo, con HDD Plus en el que los visitantes del sitio web comprometido tenían que hacer doble clic al menos en los banners de rad.msn.com.

Pero, en realidad, se han producido ataques de descarga directa que se ejecutan con éxito en IE, Safari, Chrome y Firefox sin requerir la interacción del usuario. Por ejemplo, CVE-2011-0611 fue una vulnerabilidad de 0 días hasta el 13 de abril de 2011 (es decir, poco antes de hacer esta pregunta). Se utilizó para infectar la página de inicio del sitio web Human Right Watch en el Reino Unido. La página infectada contiene un pícaro <script src=newsvine.jp2></script> elemento. Esto engaña al navegador para que almacene en caché y ejecute newsvine.jp2 como código JavaScript. Fue un ataque de caché drive-by, que es solo un caso de ataques de descarga drive-by. El almacenamiento en caché es exitoso, pero el archivo no se puede ejecutar como JavaScript porque en realidad se trata de un ejecutable malintencionado cuyo nombre corresponde a una puerta trasera de pincav familia.

Otro elemento de script falso que se encuentra en la página infectada es <script src="/includes/googlead.js"></script> , que a diferencia de la mayoría de los ataques de descarga, carga un archivo local .js . El código JavaScript en googlead.js crea un iframe que ejecuta el exploit SWF desde un dominio controlado por los atacantes.

En el mismo año que hizo esta pregunta, hubo otro ejemplo de un ataque de descarga desde el cual no fue seguro ningún navegador siempre y cuando ejecuten una versión vulnerable de JRE en ese momento ( CVE-2011-3544 ). Miles de visitantes de la página de inicio de Amnistía Internacional en el Reino Unido fueron infectados por Trojan Spy-XR malware. Los ataques continuaron hasta junio de 2011 , así que más tarde después de preguntar esto Pregunta: Google Chrome no estaba a salvo.

Un poco más de dos años después de esta pregunta, el 24 de octubre de 2013 , el famoso sitio web php.net ha estado infectando a sus visitantes mediante un ataque de descarga de la unidad a través de una etiqueta oculta iframe . El ataque se refería también a Google Chrome.

También mencionó que Google Chrome podría ser tan seguro debido a su mecanismo de caja de arena: bueno, todos los navegadores están protegidos, no solo Google Chrome, sino que también son vulnerables a los ataques de descargas debido a sus propias vulnerabilidades o las de los complementos. instalado dentro de ellos.

Respuesta corta: sí, puede contraer un virus simplemente visitando un sitio en Chrome o en cualquier otro navegador, sin que sea necesaria la interacción del usuario ( demostración de video ). Incluso con Chrome, no está 100% seguro, y probablemente nunca lo estará con ningún navegador, pero Chrome se está acercando y la comunidad de investigación de seguridad parece estar de acuerdo en que en este momento, es el navegador más seguro que puede usar .

Respuesta larga: Chrome, en este momento, es el navegador más seguro que existe en Windows, debido a las técnicas de sandboxing que utiliza, lo que se suma a la seguridad. Una buena descripción de esta caja de arena está aquí: enlace aunque un poco anticuado Una más reciente y técnica está aquí: enlace

La idea general es que un sitio web malintencionado tendrá que usar dos vulnerabilidades separadas para lograr la ejecución del código en su PC: la primera que explota el navegador y la segunda que explota el sanbox. Se ha demostrado que esto es algo muy difícil de hacer, no se ha hecho nunca.

Su pregunta llega en un buen momento: Hace una semana, la firma de investigación de seguridad VUPEN afirmó que rompió el entorno de Chrome y publicó el siguiente anuncio: enlace Si ve el video, verá que no fue necesaria la interacción del usuario, además de visitar la URL maliciosa, y una aplicación de ejemplo apareció de la nada (podría ser un virus). La descripción del ataque demostró ser errónea (pero eso no le importa mucho a los usuarios simples): el sandbox en sí no fue violado. Resultó que VUPEN explotó un error en Adobe Flash Player, que es un complemento que casi todo el mundo ha instalado, y este complemento no estaba en un espacio aislado. La respuesta de Google es que se están moviendo y se están desarrollando rápidamente para que este complemento se encuentre en un espacio aislado en las próximas versiones.

Para resumir: como puede ver en el video, nunca puede estar 100% seguro de que está seguro, así que tenga cuidado, no abra enlaces que no sepa a dónde van o no confía. los sitios.

Notas al margen: La NSA publicó recientemente un documento que indica "Mejores prácticas" para la seguridad del usuario en Internet: entre ellas se encuentra la recomendación de usar un navegador que tenga un recinto de seguridad.

Aquí está el informe: enlace

Otra nota al margen: se anuncia que Internet Explorer 9 tiene un recinto de seguridad, pero los investigadores de seguridad están de acuerdo en que no se implementó correctamente y han demostrado ataques exitosos contra él.

Y una tercera: la ventana de incógnito no tiene nada que ver con la protección antivirus, pero puede ser útil en ciertas clases de ataques donde el objetivo es el robo de cookies o similar porque separa las instancias del navegador y aísla la información disponible.

Finalmente, hay tecnologías que ofrecen una mejor protección, como sandboxie y navegadores en ejecución en máquinas virtuales.

No creo que podamos decir que las descargas automáticas son historia (si estás usando Chrome). Chrome implementa boxeo de arena pero no es imposible escapar del espacio del proceso contenido. El boxeo de arena y la navegación segura solo disminuyen la probabilidad de que el atacante tenga éxito.