Análisis de seguridad de las extensiones para navegadores Web

Actualmente, se usan mucho los navegadores en la vida diaria; para acceso a diferentes aplicaciones en línea como bancos, redes sociales, sitios de compra y venta, etc. Diferentes datos de un usuario, no solo login y contraseña, además edad, preferencias en compras, sitios preferidos de navegación,...

Full description

Autores:
Alvarado Vargas, Nicolás Arturo
Tipo de recurso:
Trabajo de grado de pregrado
Fecha de publicación:
2023
Institución:
Universidad de los Andes
Repositorio:
Séneca: repositorio Uniandes
Idioma:
spa
OAI Identifier:
oai:repositorio.uniandes.edu.co:1992/73180
Acceso en línea:
https://hdl.handle.net/1992/73180
Palabra clave:
Seguridad
Navegadores Web
Extensiones Web
Ingeniería
Rights
openAccess
License
Attribution-NonCommercial-NoDerivatives 4.0 International
Description
Summary:Actualmente, se usan mucho los navegadores en la vida diaria; para acceso a diferentes aplicaciones en línea como bancos, redes sociales, sitios de compra y venta, etc. Diferentes datos de un usuario, no solo login y contraseña, además edad, preferencias en compras, sitios preferidos de navegación, etc. son manejados en algún momento por un navegador web. También se usan mucho las extensiones web, las cuales pueden tener acceso a todas las páginas que el usuario navega. Este comportamiento plantea retos para ofrecer garantías de seguridad para la información del usuario y puede crear un problema para su seguridad ya que las páginas web pueden tener vulnerabilidades que un atacante puede explotar. Adicionalmente, las extensiones web pueden hacer mal uso de los permisos y accesos que tienen. Este trabajo estudia las características generales de los mecanismos de control de acceso de las páginas web, dos vulnerabilidades que ocurren frecuentemente y las formas de mitigar estas vulnerabilidades. Además, también se estudia el comportamiento de las extensiones web y qué implicaciones pueden tener estas para la seguridad de los datos de los usuarios. Finalmente, creamos una extensión web para ayudar a los usuarios a entender qué accesos tienen las extensiones que el usuario tiene instaladas en el navegador y qué implicaciones tienen estos accesos. Esto lo hacemos mostrando los permisos que usa cada extensión y clasificando la extensión según sus permisos. Encontramos que muchos frameworks, tanto de back-end como de front-end, implementan medidas contra las vulnerabilidades estudiadas, pero los desarrolladores no siempre tienen claro que deben usar estas medidas y cómo usarlas. También encontramos que las extensiones web pueden tener total acceso sobre las páginas en las que navegan los usuarios; generalmente, un acceso mayor al esperado. Finalmente, evaluamos las extensiones populares en la tienda que Google Chrome y encontramos que muchas de estas extensiones tienen acceso excesivo sobre la información de los usuarios. La seguridad web es de gran importancia por su alcance (involucra millones de usuarios), sin embargo, tanto los desarrolladores como los usuarios deben ser concientizados de los riesgos latentes. Esta concientización es especialmente importante en el caso de las extensiones web donde continúa existiendo una gran problemática por el amplio acceso que tienen las extensiones sobre los datos del usuario y en el momento no existe forma de mitigar esto de forma sencilla. Para limitar este acceso, sería necesario implementar una funcionalidad adicional en los navegadores web. Una solución, que este trabajo propone, es ofrecer una herramienta que permita a los usuarios consultar el acceso de las extensiones instaladas. Aunque el alcance de la herramienta es limitado porque depende de la intervención del usuario, es un primer paso en el plan de concientización.