Que la web es un espacio amigable para los cibercriminales no es secreto para nadie, seguido nos encontramos con noticias sobre vulnerabilidades y en algunos casos la rápida intervención de las empresas responsables para solucionar los problemas que muchas veces son muy graves, exponiendo a los usuarios que navegan confiados sin saber que están expuestos no solo a perder su privacidad, también a sufrir una pérdida económica.

Como dije anteriormente en algunos casos las empresas u organizaciones actúan en forma rápida, pero existen muchos otros casos, en que vulnerabilidades conocidas que no se arreglan inmediatamente, a veces pasan meses y años sin que se solucionen y este es el caso de muchas viejas librerías de Javascript, uno de los lenguajes de programación más populares en la web.

La pregunta que nos surge aquí es ¿cuántos son los sitios vulnerables por utilizar estas viejas librerías de Javascript que tienen problemas conocidos?

De acuerdo a un estudio llevado a cabo por los investigadores Tobias Lauinger, Abdelberi Chaabane, Sajjad Arshad, William Robertson, Christo Wilson y Engin Kirda de Northeastern University indica que de un estudio que llevaron a cabo con una muestra de 133.000 sitios web, el 37% de ellos utiliza al menos una librería de Javascript con vulnerabilidades viejas y conocidas, que pueden ser explotadas por un hacker con los conocimientos necesarios.

Estos investigadores en el white paper del estudio indican lo siguiente:

Los desarrolladores Web recurrentemente se basan en JavaScript de terceros como por ejemplo bibliotecas como jQuery para mejorar la funcionalidad de sus sitios. Sin embargo, si no se mantienen correctamente, tales dependencias pueden crear vectores de ataque que permiten que un sitio esté comprometido.

Para el estudio los investigadores rastrearon los 75.000 primeros sitios web del ránking de Amazon Alexa y también tomaron una muestra random de 75.000 de la zona .com rastrearon en Mayo del 2016.  En las pruebas encontraron fallas en algunos de los sitios lo que redujo la muestra un total de 133.302 sitios.

Esas dos muestras les permitió comparar y contrastar el uso de bibliotecas de Javascript entre sitios populares y no populares.  En total los investigadores observaron más de 11 millones de secuencias de comandos en línea e inclusiones de ficheros de script.  En total, el 46,5% de los sitios de la segunda muestra (.com) y el 87.7% de los sitios de la muestra de Alexa utilizaban al menos una librería conocida de Javascript y la más popular de todas fue jQuery.

Como resultado descubrieron que el 36.7% de jQuery, el 40.1% de Angular, el 86,6% de Handlebars y el87,3% de YUI de las inclusiones utilizan una versión vulnerable. En forma adicional el 9,7% de los sitios en el estudio utilizan dos o más versiones de librerías Javascript vulnerables.

En cuanto a los sitios más populares, que son los de la muestra de Alexa, el 21% al momento del estudio utilizaba librerías de Javascript con vulnerabilidades.

Si bien estas cifras son alarmantes, lo más alarmante de todo es la desorganización y lo complejo del ecosistema de Javascript, que es la mayor dificultad tanto para solucionar los problemas, como así también para que los desarrolladores sepan qué utilizar.  Los investigadores con respecto a esto señalaron que

No hay bases de datos fiables de vulnerabilidades, listas de correo de seguridad mantenidas por los vendedores de la biblioteca, pocos o ningún detalle sobre los problemas de seguridad en las notas de la versión y a menudo, es difícil determinar qué versiones de una biblioteca se ven afectadas por una vulnerabilidad específica.

Si quieren interiorizarse más sobre el estudio, pueden ver el white paper publicado por los investigadores: Thou Shalt Not Depend on Me: Analysing the Use of Outdated JavaScript Libraries on the Web.


No olviden seguirnos y comentar en Facebook y en nuestra revista de Flipboard.



¿Te gustó? Compartilo con tus amigos!