Brecha no Google Toolbar deixa PC aberto para fraudes online
Por IDG News Service/EUA
Publicada em 19 de dezembro de 2007 às 09h01
Atualizada em 19 de dezembro de 2007 às 09h04
São Francisco - Crackers podem instalar botões no software do Google e rodar códigos não autorizados no PC da vítima; Google já trabalha em correção.
O Google está trabalhando para corrigir um bug no Google Toolbar que permitiria que criminosos roubassem dados e instalassem softwares maliciosos no sistema, afirmou um pesquisador de segurança nesta terça-feira (18/12).
A falha está no mecanismo que o Google Toolbar usa para adicionar novos botões no navegador. Como o software não faz checagens corretas durante a instalação, um cracker poderia usar a instalação de um botão para baixar conteúdo de um site malicioso para começar um ataque de phishing local contra a vítima, escreveu Aviv Raff em seu blog.
Raff publicou um código conceito de prova mostrando como o ataque funciona com o Internet Explorer. Uma porta-voz do Google confirmou que a empresa está trabalhando para corrigir o problema.
O ataque exige muitos passos. Primeiro, a vítima tem que clicar sobre um link que ofereceria a instalação do botão. Pela falha, o alerta de download apareceria como sendo feito a partir de um site legítimo. Com a instalação terminada, o usuário teria que clicar sobre o botão e rodar o software malicioso baixado.
Como o usuário teria que passar por tantos passos, o bug não é considerado crítico, afirma Marc Maiffret, pesquisador independente de segurança. "Por mais que seja interessante, é provavelmente uma ameaça pouo significante comparada a outras por aí", afirmou. Ainda assim, ele considera que foi ruim para o Google ignorar tal ataque.
Esta não é a primeira falha em produtos do Google descoberta por Raff. Em novembro, ele demonstrou como um simples erro de programação no Google.com permitia que crackers criassem ataques do tipo cross-site. em que um site conhecido legitima outro malicioso.
Como os programadores do Google não checaram corretamente o HTML gerado pelo buscador, Raff conseguiu criar um link no Google que, ao ser clicado pela vítima, enganaria o browser a rodar códigos não autorizados. Este tipo de link poderia ser usado na prática para roubar dados pessoais da vítima ou conduzir ataques de phishing.
A falha foi corrigida pelo Google horas após a notificação de Raff.
Compartilhe:
- DEL.ICIO.US
- GOOGLE BOOKMARKS
- TECHNORATI
- NETVIBES
- DIGG
CONTEÚDO RELACIONADO:
IDG NOW! BUSCA:
Links patrocinados
ÚLTIMAS NOTÍCIAS DO IDG NOW!:
- Telefônica: audiência pública da Câmara discutirá falhas em serviços
- Terra limita rede de acesso Wi-Fi grátis para assinantes de banda larga
- Novo game de Harry Potter chega às lojas brasileiras em 10 de julho
- Microsoft encerra Web Messenger
- Prefeitura de São Paulo lança portal para estimular adoção de animais
- Telefônica não cobrará taxa de rescisão do Speedy nos próximos 90 dias
Links patrocinados
Brasil no rastro dos golpes
Delegado da Polícia Federal detalha novo sistema para analisar golpes por e-mail no País.
Roubo de senhas
Denny Roger relata as técnicas mais utilizadas para roubo de senhas. Saiba como proteger a sua.
Links patrocinados
