Por qué el navegador Chrome tiene más fallos de seguridad que antes

El navegador web Google Chrome es el más utilizado en todo el mundo por los usuarios, de hecho, las estadísticas de finales del año pasado nos indican que más del 65% de los usuarios de Internet utiliza este navegador. Muy lejos tenemos otros navegadores como Firefox o Safari para los equipos de Apple. Sin embargo, en los últimos años están apareciendo más vulnerabilidades graves en el navegador de Google, ¿a qué se debe? ¿Por qué antes no había tantos fallos de seguridad y ahora sí? Hoy en RedesZone os lo vamos a explicar.

Cada vez aparecen más vulnerabilidades

En el blog de seguridad de Google cada vez nos encontramos con más fallos de seguridad en el navegador Chrome, parece que ha habido un aumento bastante importante en los fallos de seguridad encontrados, y cómo los ciberdelincuentes están aprovechándose para lanzar exploits e intentar infectar a los usuarios. Sin embargo, según comentan en el blog oficial de seguridad, esto no es así.

El principal motivo por el que ahora parece que Chrome tiene más fallos de seguridad es porque tiene más visibilidad por parte de los atacantes, en realidad esto es algo bueno, porque significa que pueden responder a estas vulnerabilidades con parches mucho más rápido que antes, con el objetivo de proteger a sus usuarios. Hace algunos años las vulnerabilidades en Chrome no tenían tanta visibilidad, aunque pueda parecer que no había errores, sí los había pero estaban «ocultos». Ahora esto ha cambiado radicalmente y permite a Google solucionarlos mucho antes, además, también aprenden cómo operan los atacantes reales.

El equipo Project Zero de Google ha realizado un seguimiento público de todos los fallos de seguridad día cero o también conocido como 0-day, es decir, vulnerabilidades no conocidas que los atacantes están explotando en su beneficio. En la siguiente gráfica se pueden ver los principales navegadores web y los fallos de seguridad relacionados, poniendo especial atención al ya desaparecido Flash y también a WebKit, aunque no son navegadores, formaron parte o forman parte de los navegadores de forma muy importante.

Tal y como habéis visto, entre los años 2015 y 2018 parece que no hubo ningún fallo de seguridad en Google Chrome, algo que no es posible. El equipo no detectó ningún 0-day durante esos años, pero eso no indica que no hubiera ninguno y que fueran explotados sigilosamente por los ciberdelincuentes. A partir del año 2019 los fallos de seguridad han crecido en Chrome de manera muy importante, pero esto es porque simplemente tienen más visibilidad que antes, es decir, hay más transparencia con los 0-day.

Otro de los motivos que han comentado responsables de Google es porque Chrome sigue creciendo y aumentando su cuota de utilización, esto hace que los ciberdelincuentes estén más centrados en este navegador web porque podría afectar a más potenciales víctimas. Los ciberdelincuentes siempre quieren ganar dinero, y sus objetivos intentan que sean muy numerosos, con el objetivo de hacer al mayor daño posible. No tiene sentido dedicar muchos recursos a un navegador web muy poco utilizado, porque las potenciales víctimas serán poco numerosas. También debemos tener en cuenta que antes de 2019 siempre se ataca Flash, porque era un software que era un verdadero coladero de 0-day, y con su desaparición, los ciberdelincuentes se han centrado más en Chrome.

También debemos tener en cuenta que antes era necesario solamente un fallo 0-day para comprometer el navegador web, ahora es necesario como mínimo dos. El primer fallo servirá para ejecutar el código, y otro fallo hará que salga este código de la sandbox que utiliza Chrome, por lo que esto «engorda» las estadísticas. Por último, el navegador Chrome es mucho más complejo que antes, y esto hace que haya errores de programación y que el número de posibles 0-day haya crecido, para mitigar un poco este problema siguen mejorando su sandbox para aislar todas las páginas web.

En resumen, los motivos por los que ahora Chrome parece que tiene más fallos de seguridad son:

1. Mayor transparencia a la hora de comunicar fallos de seguridad 0-day a los usuarios.
2. Evolución de los atacantes, han abandonado Flash para centrarse en la popularidad de Chrome.
3. Es necesario como mínimo dos fallos de seguridad en lugar de un solo fallo, para comprometer el proceso renderizador y la sandbox, por lo que esto multiplica las estadísticas. También es posible que sea necesario encadenar varios fallos para lograr un solo paso.
4. Software más complejo y más posibles fallos de programación.

Aunque cada vez aparecen más errores, el equipo de Chrome está metido de lleno en varios proyectos que tienen como objetivo proporcionar la mejor seguridad posible:

• Mejora de aislamiento de sitios web, sobre todo en Android
• Heap sandbox: evitará que los atacantes usen errores de compilación JIT de JavaScript.
• Proyectos MiraclePtr and *Scan para evitar la explotación de los errores más grandes del proceso del navegador.
• Escribir partes de Chrome con lenguajes de programación seguros para la memoria. Esto suele representar hasta el 70% de errores de seguridad explotables.
• Métodos para la mitigación de los errores 0-day.

Tal y como podéis ver, aunque el número de 0-day comunicados de Chrome ha aumentado, no significa que antes no los hubiera, sino que simplemente no se comunicaban.

El artículo Por qué el navegador Chrome tiene más fallos de seguridad que antes se publicó en RedesZone.