Una reciente investigación afirma que los sistemas de lectura electrónica (e-reading) con soporte para formato EPUB abierto pueden verse expuestos a severos riesgos de seguridad. Como muchos recordarán, este formato se basa en XHTML y CSS para la construcción de e-books, por lo que los motores de navegación suelen usarlo a menudo para la representación de contenido.
Acorde al reporte, son las características inherentes a este formato lo que representa un severo riesgo vinculado al uso de e-books en navegadores web.
La investigación estuvo a cargo de imec-DistriNet Research Group, cuyos expertos descubrieron que casi ninguno de los sistemas de lectura compatibles con JavaScript analizados se apega de forma adecuada a las recomendaciones de seguridad para la especificación del formato EPUB.
Durante el análisis, los investigadores usaron un marco de pruebas semi automatizadas disponible en GitHub y descubrieron que 16 de los 97 sistemas analizados permitían la filtración de información sobre el sistema de archivos desde un EPUB; en ocho de estos casos incluso se permitía la extracción del contenido del archivo. Un actor de amenazas podría acceder totalmente al sistema afectado explotando algunas características específicas en la implementación de los sistemas de lectura.
Si bien la gravedad de un ataque depende de la plataforma utilizada y del tipo de información almacenada, millones de usuarios podrían verse afectados por estos ataques.
Los investigadores también realizaron una evaluación manual de las aplicaciones de lectura EPUB más populares en Amazon Kindle, Apple Books y la extensión del navegador EPUBReader, lo que también llevó al hallazgo de múltiples debilidades de seguridad: “La mayoría de las medidas de seguridad en estos lectores pueden ser evadidas abusando de una falla de validación de entrada”, agregan los expertos.
Puede que los usuarios asiduos a la lectura en e-books sean los más sorprendidos, pero los expertos también encontraron múltiples fallas en Apple Books, que viene preinstalado en macOS, además de problemas de seguridad en la versión para sistemas Windows de Adobe Digital Editios. Estos problemas fueron presentados a los desarrolladores de las herramientas mencionadas y se espera sean corregidos a la brevedad.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.