Vulnerabilidades en Claude exponen datos de Gmail y Google Docs
Publicado el
Vulnerabilidades en Claude para Chrome
Recientemente, se han descubierto dos vulnerabilidades en Claude para Google Chrome que plantean riesgos significativos para la privacidad de los usuarios. Estas fallas, que afectan a la versión 1.0.801.0 de Claude lanzada en julio, permiten que extensiones maliciosas accedan a información sensible como correos de Gmail, documentos de Google y calendarios.
Origen del problema
Los investigadores de seguridad de Manifold han señalado que estas vulnerabilidades surgen debido a un script de contenido que detecta clics en elementos específicos, como el #claude-onboarding-button. Según Ax Sharma, uno de los investigadores, cualquier extensión con acceso a claude.ai puede inyectar elementos DOM coincidentes y generar eventos de clic sintéticos, lo que abre la puerta a accesos no autorizados.
Mecanismo del ataque
El ataque se ejecuta cuando un usuario tiene instalada tanto la extensión de Claude como una extensión maliciosa. Esta última simula interacciones legítimas, haciendo que Claude las interprete como seguras. Así, el complemento malicioso puede acceder a información privada del usuario.
Es importante destacar que la explotación de esta vulnerabilidad no es trivial; se requiere que exista una extensión maliciosa adicional además de Claude para que el ataque tenga éxito.
Información que puede ser comprometida
Los atacantes podrían obtener acceso a: - Correos de Gmail - Documentos de Google - Calendario de Google
El alcance del acceso dependerá de los permisos que el usuario haya concedido a Claude. Cuantos más permisos se otorguen, mayor será el riesgo. Aunque esto no implica que Claude sea inherentemente inseguro, sí se debe tener en cuenta que podría haber vulnerabilidades que faciliten ataques en el futuro.
Recomendaciones de seguridad
Para mitigar estos riesgos, se aconseja a los usuarios que sigan las siguientes pautas: - Limitar la cantidad de extensiones instaladas en el navegador. - Revisar periódicamente los complementos y sus permisos. - Mantener el software y las extensiones actualizadas para evitar vulnerabilidades. - Instalar un programa de seguridad confiable que ofrezca protección adicional.
Preguntas frecuentes
¿Qué versiones de Claude están afectadas? El problema se ha identificado específicamente en la versión 1.0.801.0 de Claude para Google Chrome.
¿Cómo se lleva a cabo el ataque? El fallo utiliza un script que detecta interacciones en el elemento #claude-onboarding-button y permite a las extensiones maliciosas inyectar elementos DOM para automatizar tareas sin autorización.
¿Es suficiente con tener instalada la IA de Claude para estar en riesgo? No, se necesita también una extensión maliciosa adicional que simule interacciones legítimas.
¿Qué datos pueden ser robados? Si se explota la vulnerabilidad, los atacantes pueden acceder a correos, documentos y calendarios de Google, dependiendo de los permisos otorgados.
Conclusión
La identificación de estas vulnerabilidades en Claude para Chrome subraya la importancia de la ciberseguridad en el uso de herramientas de inteligencia artificial. Los usuarios deben estar alerta y aplicar medidas preventivas para proteger su información personal de posibles ataques.