Edgar Cervantes / Android AuthorityTL;DR La confusión sobre cómo manejar las solicitudes de 0.0.0.0 ha expuesto una vulnerabilidad de seguridad en varios navegadores. Los atacantes podrían usar este método para eludir la protección de acceso a redes privadas. Google tiene una solución para Chrome que se implementará en las próximas versiones. El cero es un número curioso y uno que ha estado causando problemas en las computadoras desde la primera vez que alguien intentó dividir por cero. Cuando usamos números para expresar cosas específicas, la idea de que «nada» también sea una opción válida no siempre es intuitiva de manejar. Hoy veremos qué puede suceder cuando el software interpreta algunos ceros de una manera que los usuarios no esperaban y cómo los actores de amenazas pueden usar ese mal manejo para su beneficio. Nos centraremos en las direcciones IP (y en el antiguo IPv4, específicamente), que identifican de forma única cada sistema en una red a través de un conjunto de cuatro números. Como ya sabrás, algunos de estos números tienen propiedades especiales, como la dirección IP 127.0.0.1, que se conoce como localhost y funciona como un loopback (bucle de retorno). Básicamente, es como sostener un espejo frente a un dispositivo en una red y, sin importar quién seas, cuando intentas conectarte a 127.0.0.1, solo estás intentando conectarte de vuelta a tu propio dispositivo. Este tipo de comportamiento es bastante estándar en todas partes y el software sabe cómo manejarlo. Todo esto nos lleva a: 0.0.0.0. Si esa dirección IP te parece rara, imagina cómo se ve para una computadora. El gran problema con 0.0.0.0 es que no hay un consenso sólido sobre cómo deberían tratarla los sistemas. Algunos no la ven como una dirección válida en absoluto, mientras que otros la manejan como un loopback 127.0.0.1. Y a partir de esa confusión, los piratas informáticos han encontrado una forma de abusar de 0.0.0.0, como descubrió Oligo Security (a través de Forbes). Incluso si no estás alojando personalmente un servidor web, una gran cantidad de software se pone a disposición a través de tu red local, como por ejemplo, la forma en que puedes usar tu navegador para conectarte y configurar tu enrutador. Cosas como esa están pensadas en gran medida para mantenerse separadas de Internet en general, y Chrome ofrece un sistema de protección llamado Acceso a la red privada (PNA) para mantenerlo así. Por ejemplo, un atacante podría preparar una página web que le indique a tu navegador que realice solicitudes a esa dirección de bucle invertido, u otra dirección en tu red interna local, donde se esté ejecutando un software como este. Si no se controla, eso podría dar como resultado que expongas datos privados involuntariamente. Pero gracias a PNA, Chrome sabe mantener separados estos dos mundos locales y remotos. El problema es que nadie pensó realmente en 0.0.0.0 al crear nada de esto. Y así, muchas veces, los hackers pueden usar 0.0.0.0 para eludir esas protecciones de PNA. ¿Quizás la peor parte? Esto ha sido así durante al menos 18 años. Apple y Google están arreglando sus navegadores para cerrar este agujero, pero Mozilla no está muy convencida cuando se trata de Firefox. Básicamente, al equipo le preocupa que si los desarrolladores han estado tratando 0.0.0.0 como un bucle inverso durante años, cambiar eso de repente podría amenazar con romper una gran cantidad de software. Si bien el plan es bloquear 0.0.0.0 eventualmente, si le preocupa este vector de ataque, es posible que desee considerar otro navegador por el momento. ¿Tiene un consejo? ¡Hable con nosotros! Envíe un correo electrónico a nuestro personal a news@androidauthority.com. Puede permanecer anónimo o recibir crédito por la información, es su elección. Comentarios
