Brecha no Google Toolbar deixa PC aberto para fraudes online
Por IDG News Service/EUA
Publicada em 19 de dezembro de 2007 às 09h01
Atualizada em 19 de dezembro de 2007 às 09h04
São Francisco - Crackers podem instalar botões no software do Google e rodar códigos não autorizados no PC da vítima; Google já trabalha em correção.
O Google está trabalhando para corrigir um bug no Google Toolbar que permitiria que criminosos roubassem dados e instalassem softwares maliciosos no sistema, afirmou um pesquisador de segurança nesta terça-feira (18/12).
A falha está no mecanismo que o Google Toolbar usa para adicionar novos botões no navegador. Como o software não faz checagens corretas durante a instalação, um cracker poderia usar a instalação de um botão para baixar conteúdo de um site malicioso para começar um ataque de phishing local contra a vítima, escreveu Aviv Raff em seu blog.
Raff publicou um código conceito de prova mostrando como o ataque funciona com o Internet Explorer. Uma porta-voz do Google confirmou que a empresa está trabalhando para corrigir o problema.
O ataque exige muitos passos. Primeiro, a vítima tem que clicar sobre um link que ofereceria a instalação do botão. Pela falha, o alerta de download apareceria como sendo feito a partir de um site legítimo. Com a instalação terminada, o usuário teria que clicar sobre o botão e rodar o software malicioso baixado.
Como o usuário teria que passar por tantos passos, o bug não é considerado crítico, afirma Marc Maiffret, pesquisador independente de segurança. "Por mais que seja interessante, é provavelmente uma ameaça pouo significante comparada a outras por aí", afirmou. Ainda assim, ele considera que foi ruim para o Google ignorar tal ataque.
Esta não é a primeira falha em produtos do Google descoberta por Raff. Em novembro, ele demonstrou como um simples erro de programação no Google.com permitia que crackers criassem ataques do tipo cross-site. em que um site conhecido legitima outro malicioso.
Como os programadores do Google não checaram corretamente o HTML gerado pelo buscador, Raff conseguiu criar um link no Google que, ao ser clicado pela vítima, enganaria o browser a rodar códigos não autorizados. Este tipo de link poderia ser usado na prática para roubar dados pessoais da vítima ou conduzir ataques de phishing.
A falha foi corrigida pelo Google horas após a notificação de Raff.
Compartilhe:
- DEL.ICIO.US
- GOOGLE BOOKMARKS
- TECHNORATI
- NETVIBES
- DIGG
CONTEÚDO RELACIONADO:
IDG NOW! BUSCA:
Links patrocinados
ÚLTIMAS NOTÍCIAS DO IDG NOW!:
- 5 razões para ficar com o Windows XP
- Vendas do Snow Leopard superam em duas vezes a de seu antecessor
- Número de celulares habilitados no Brasil cresce 1,62% em agosto
- Camisetas para nerds são o suprassumo da moda geek
- Uma a cada cinco empresas nos EUA usa o Google Docs, diz IDC
- Presença de celulares em domicílios no Brasil cresce quase 5 vezes desde 2001
Celular zumbi
Celulares podem ser usados por novo código malicioso para ataques, alertam especialistas.
Da pescaria de senhas aos espiões de namoradas
Num mundo com mais de 6,8 bilhões de pessoas, quantas são hackers? Eis um clube exclusivo.
Links patrocinados
