Publicidade

19 de setembro de 2009
seguranca
Bugs e Falhas de Software

Brecha no Google Toolbar deixa PC aberto para fraudes online

Por IDG News Service/EUA

Publicada em 19 de dezembro de 2007 às 09h01
Atualizada em 19 de dezembro de 2007 às 09h04

São Francisco - Crackers podem instalar botões no software do Google e rodar códigos não autorizados no PC da vítima; Google já trabalha em correção.

O Google está trabalhando para corrigir um bug no Google Toolbar que permitiria que criminosos roubassem dados e instalassem softwares maliciosos no sistema, afirmou um pesquisador de segurança nesta terça-feira (18/12).

A falha está no mecanismo que o Google Toolbar usa para adicionar novos botões no navegador. Como o software não faz checagens corretas durante a instalação, um cracker poderia usar a instalação de um botão para baixar conteúdo de um site malicioso para começar um ataque de phishing local contra a vítima, escreveu Aviv Raff em seu blog.

Raff publicou um código conceito de prova mostrando como o ataque funciona com o Internet Explorer. Uma porta-voz do Google confirmou que a empresa está trabalhando para corrigir o problema.

O ataque exige muitos passos. Primeiro, a vítima tem que clicar sobre um link que ofereceria a instalação do botão. Pela falha, o alerta de download apareceria como sendo feito a partir de um site legítimo. Com a instalação terminada, o usuário teria que clicar sobre o botão e rodar o software malicioso baixado.

Como o usuário teria que passar por tantos passos, o bug não é considerado crítico, afirma Marc Maiffret, pesquisador independente de segurança. "Por mais que seja interessante, é provavelmente uma ameaça pouo significante comparada a outras por aí", afirmou. Ainda assim, ele considera que foi ruim para o Google ignorar tal ataque.

Esta não é a primeira falha em produtos do Google descoberta por Raff. Em novembro, ele demonstrou como um simples erro de programação no Google.com permitia que crackers criassem ataques do tipo cross-site. em que um site conhecido legitima outro malicioso.

Como os programadores do Google não checaram corretamente o HTML gerado pelo buscador, Raff conseguiu criar um link no Google que, ao ser clicado pela vítima, enganaria o browser a rodar códigos não autorizados. Este tipo de link poderia ser usado na prática para roubar dados pessoais da vítima ou conduzir ataques de phishing.

A falha foi corrigida pelo Google horas após a notificação de Raff.

Robert McMillan, editor do IDG News Service, de São Francisco.

OPINIÃO DO LEITOR
Não há comentários para essa notícia
Seja o primeiro a comentar

Top5MAIS LIDAS
DO DIA
Golpes na rede social

Golpes na rede social

5 ameaças que você deve evitar nas redes sociais Facebook e Twitter.

Celular zumbi

Celular zumbi

Celulares podem ser usados por novo código malicioso para ataques, alertam especialistas.

Da pescaria de senhas aos espiões de namoradas

Da pescaria de senhas aos espiões de namoradas

Num mundo com mais de 6,8 bilhões de pessoas, quantas são hackers? Eis um clube exclusivo.

anterior   próxima
Galeria de fotoscarregando...
IDG Now! Widget

Baixe o Now! Reader e confira em seu desktop as últimas notícias, álbuns e outros conteúdos do IDG Now!

IDG Now! Reader
Blog
Guia de Contratação para a Profissão de Segurança da Informação
Enterprise Workload Automation com Scheduling Dinâmico
Você sabe quais os principais problemas encontrados nas redes de pequenas e médias empresas?
Prevenção completa contra perda de dados
Segurança da informação como estratégia para inovação dos negócios
Sete tipos de problemas com No-Break
Modelo de eficiência elétrica em centros de dados
Implementação de data centers eficientes em termos de energia
Licenciamento
Veja como utilizar o conteúdo do site líder em notícias sobre tecnologia a seu favor.