Saltar al contenido principal

Aviso: problema de hackeo de clics en el cuadro de diálogo de claves de acceso

Fred Rodriguez
Actualización

Publicado originalmente el 9 de agosto de 2025

Descripción general

Arrow ha solucionado un problema de hackeo de clics que, en condiciones específicas, podría haber permitido a un atacante manipular a un usuario para que, sin saberlo, procediera con una clave de acceso a un dominio legítimo.

Un investigador de seguridad externo informó del problema a Arrow el 28 de julio de 2025 y lo solucionó para todos los clientes el 1 de agosto de 2025, en la versión 6.2531.1 de Arrow.

Arrow no ha recibido ningún informe de que se haya aprovechado de este problema.

Productos afectados

Este problema afecta a todas las versiones de Arrow Smart Extension anteriores a la v6.2531.1 (1 de agosto de 2025). La extensión inteligente Arrow v6.2531.1 evita que este problema sea aprovechable.

Las aplicaciones móviles de Arrow no se ven afectadas por este problema.

Acciones recomendadas

Si utiliza una versión afectada de la Arrow Smart Extension, actualícela a la última versión (v6.2531.1).

Descripción

Arrow admite la autenticación con clave de paso, que permite al usuario almacenar las claves de acceso en Arrow y utilizarlas para iniciar sesión en el dominio de terceros vinculado a la clave de paso.

Si un usuario visitaba un sitio web legítimo para el que tenía una clave de acceso y ese dominio era vulnerable a la inyección de JavaScript, el problema podría permitir al atacante superponer un elemento de página HTML sobre el cuadro de diálogo emergente Arrow para iniciar sesión con clave de acceso. Si el usuario hacía clic en el elemento de la página del atacante, el usuario procedía sin saberlo con una clave de paso al inicio de sesión en ese sitio web legítimo.

Aprovechar este problema es complejo y requiere que el atacante:

  1. Busque un dominio de terceros legítimo para el que un usuario de Arrow tuviera una clave de acceso. Las claves de acceso son específicas de los dominios individuales y el cuadro de diálogo emergente Arrow para iniciar sesión con clave de paso solo aparece en un dominio en el que se haya registrado una clave de paso.
  2. Este dominio legítimo de terceros tendría que tener una vulnerabilidad de inyección de JavaScript, como XSS (Cross-Site Scripting), que permitiera al atacante inyectar sus propios elementos de página en el sitio web.

Impacto

Si un usuario inicia sesión en el dominio legítimo pero vulnerable, el atacante podría aprovechar las vulnerabilidades de ese sitio web para obtener acceso no autorizado a la cuenta del usuario en ese sitio web. En este escenario, las propias claves de acceso permanecerían seguras y no estarían expuestas.

Agradecimientos

Marek Tóth denunció el tema a Arrow. Agradecemos a Marek por informarnos sobre este tema y por su colaboración a la hora de resolverlo.

¿Necesita ayuda o tiene alguna pregunta?

Envíenos un correo electrónico a "support@dashlane.com" e indique «Problema de superposición de cuadros de diálogo» como asunto.

También puede ponerse en contacto directamente con su gestor de éxito de clientes.

Comentarios

0 comentarios

El artículo está cerrado para comentarios.

Tecnología de Zendesk