Brecha no Google Toolbar deixa PC aberto para fraudes online
São Francisco - Crackers podem instalar botões no software do Google e rodar códigos não autorizados no PC da vítima; Google já trabalha em correção.
O Google está trabalhando para corrigir um bug no Google Toolbar que permitiria que criminosos roubassem dados e instalassem softwares maliciosos no sistema, afirmou um pesquisador de segurança nesta terça-feira (18/12).
A falha está no mecanismo que o Google Toolbar usa para adicionar novos botões no navegador. Como o software não faz checagens corretas durante a instalação, um cracker poderia usar a instalação de um botão para baixar conteúdo de um site malicioso para começar um ataque de phishing local contra a vítima, escreveu Aviv Raff em seu blog.
Raff publicou um código conceito de prova mostrando como o ataque funciona com o Internet Explorer. Uma porta-voz do Google confirmou que a empresa está trabalhando para corrigir o problema.
O ataque exige muitos passos. Primeiro, a vítima tem que clicar sobre um link que ofereceria a instalação do botão. Pela falha, o alerta de download apareceria como sendo feito a partir de um site legítimo. Com a instalação terminada, o usuário teria que clicar sobre o botão e rodar o software malicioso baixado.
Como o usuário teria que passar por tantos passos, o bug não é considerado crítico, afirma Marc Maiffret, pesquisador independente de segurança. "Por mais que seja interessante, é provavelmente uma ameaça pouo significante comparada a outras por aí", afirmou. Ainda assim, ele considera que foi ruim para o Google ignorar tal ataque.
Esta não é a primeira falha em produtos do Google descoberta por Raff. Em novembro, ele demonstrou como um simples erro de programação no Google.com permitia que crackers criassem ataques do tipo cross-site. em que um site conhecido legitima outro malicioso.
Como os programadores do Google não checaram corretamente o HTML gerado pelo buscador, Raff conseguiu criar um link no Google que, ao ser clicado pela vítima, enganaria o browser a rodar códigos não autorizados. Este tipo de link poderia ser usado na prática para roubar dados pessoais da vítima ou conduzir ataques de phishing.
A falha foi corrigida pelo Google horas após a notificação de Raff.
CONTEÚDO RELACIONADO:
IDG NOW! BUSCA:
Links patrocinados
ÚLTIMAS NOTÍCIAS DO IDG NOW!:
- Microsoft apela para Europa para avançar no mercado de buscas
- Hacker que divulgou falso alerta de terremoto é detido na China
- United Airlines integrará dock de iPod e iPhone em vôos internacionais
- Intel separa divisão e cria nova empresa focada em energia solar
- Yahoo aprofunda parcerias por busca e publicidade móvel na Ásia
- Spammer recorrente é condenado a pagar 6 milhões de dólares ao MySpace
US$ 1,6 bilhão
foi o prejuízo que o Brasil teve devido à pirataria de software em 2007, revelou a BSA.
Links patrocinados
Hacker ético
Banco seguro no celular
Razões para ser paranóico
Listamos 10 razões para você ser paranóico sobre a vulnerabilidade de seus dados na web.
Soluções descartáveis
Vivemos ciclos em quase tudo que fazemos inclusive em gestão de riscos. Por Marcos Sêmola
Você já pode ler as últimas notícias do IDG Now!, em qualquer lugar e qualquer momento, usando seu celular para entrar no IDG Now! WAP.
Receba notícias do IDG Now! no celular
Links patrocinados
Blog dos Blogs
Os melhores vídeos do D6Deep in Tech
Resolvendo desafiosEfeito Web
Bill Gates no LinkedIn
