Home > Notícias

Página personalizada do Google tem falha de segurança, alerta Batori

Graças à brecha, domínios do Google IG podem ser usados para oferecer credibilidade a armadilhas virtuais criadas por hackers

Por Redação do IDG Now!

05/07/2006 às 18h20

Foto:

Graças à brecha, domínios do Google IG podem ser usados para oferecer credibilidade a armadilhas virtuais criadas por hackers

O Google IG, página de buscas customizável pelo usuário da empresa, apresenta uma falha de segurança que pode facilitar ataques de phishing, segundo comunicado da empresa de segurança Batori Software & Security.

Classificada tecnicamente como "cross site scripting", a vulnerabilidade, segundo Denny Rogger, diretor de negócios da empresa, está localizada na maneira como o Google IG cadastra feeds de RSS do usuário.

Ao tentar acrescentar uma nova fonte de notícias à sua página personalizada, hackers podem aproveitar o domínio do Google para camuflar endereços maliciosos.

A ação maliciosa permite que mensagens de phishing levem o usuário a uma página criada pelo hacker com a credibilidade da URL do Google, o que pode facilitar que usuários sejam levados a acreditar que estão acessando um serviço do buscador.

Em testes realizados pelo IDG Now!, foi possível acessar sites externos ao Google a partir de domínios de outros serviços do buscador, como o Google Maps.

"Este tipo de falha pode ser utilizada para disseminar vírus na internet, abrir páginas falsas dentro de verdadeiras e copiar informações do usuário", alerta Roger.

Brechas do tipo cross site scripting já atingiram serviços do UOL Shopping e da Telefônica e são encaradas como de alto risco pelos pesquisadores pela facilidade com que usuários podem ser enganados em armadilhas virtuais.

O blog Ha.ckers.org, responsável pelo alerta original, afirma que o Google já foi avisado sobre a brecha e criou um teste online para exemplificar como a vulnerabilidade funciona especificamente dentro do Google IG.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail