Home > Notícias

Google Apps tinha falha que permitia acesso a serviços do buscador

Vulnerabilidade que permitia ataques de cross-site scripting (XSS) indica riscos da popularidade do SaaS, diz pesquisador.

Techworld/Reino Unido

16/04/2008 às 17h07

Foto:

Uma falha já corrigida no Google Spreadsheets, a planilha online do Google Apps, permitia o acesso de um crackers a todos os serviços do Google, revelou um pesquisador de segurança nesta quarta-feira (16/04).

A vulnerabilidade viabilizava ataques de cross-site scripting (XSS) e é uma indicação dos riscos que podem acompanhar a grande popularidade do Software como Serviço (SaaS), segundo o pesquisador Billy Rios, que descobriu o problema.

Devido à forma como o Google estrutura seus processos de autenticação, um único ataque XSS pode oferecer acesso a todos os serviços e documentos da empresa, diz Rios. “Só com este XSS, posso fazer tudo que quiser no Google como se fosse você”, explicou o pesquisador em um post.

Os crackers se aproveitam da maneira como o Internet Explorer determina o tipo de conteúdo das respostas de servidores, ignorando o cabeçalho que informa o conteúdo das páginas, em algumas circunstâncias.

Segundo Rios, os navegadores Firefox, Opera e Safari podem ser levados ao mesmo comportamento.

“Os desenvolvedores precisam entender como os browsers lidam com diferentes cabeçalhos de conteúdo ou arriscarão sua aplicação hospedada na web a ataques XSS”, escreveu.

Para consolidar a invasão, Rios injetou um código HTML na primeira cédula de uma tabela, junto com um Javascript voltado a mostrar o cookie do usuário. O IE então renderizou o conteúdo como HTML, permitindo que o cookie fosse visualizado.

Em algumas semanas, o Google permitirá que os usuários visualizem e editem documentos do Google Apps também offline.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail