Home > Notícias

Brecha no Google Toolbar deixa PC aberto para fraudes online

Crackers podem instalar botões no software do Google e rodar códigos não autorizados no PC da vítima

Por IDG News Service/EUA

19/12/2007 às 10h28

Foto:

O Google está trabalhando para corrigir um bug no Google Toolbar que permitiria que criminosos roubassem dados e instalassem softwares maliciosos no sistema, afirmou um pesquisador de segurança nesta terça-feira (18/12).

Leia mais:

A falha está no mecanismo que o Google Toolbar usa para adicionar novos botões no navegador. Como o software não faz checagens corretas durante a instalação, um cracker poderia usar a instalação de um botão para baixar conteúdo de um site malicioso para começar um ataque de phishing local contra a vítima, escreveu Aviv Raff em seu blog.

Raff publicou um código conceito de prova mostrando como o ataque funciona com o Internet Explorer. Uma porta-voz do Google confirmou que a empresa está trabalhando para corrigir o problema.

O ataque exige muitos passos. Primeiro, a vítima tem que clicar sobre um link que ofereceria a instalação do botão. Pela falha, o alerta de download apareceria como sendo feito a partir de um site legítimo. Com a instalação terminada, o usuário teria que clicar sobre o botão e rodar o software malicioso baixado.

Como o usuário teria que passar por tantos passos, o bug não é considerado crítico, afirma Marc Maiffret, pesquisador independente de segurança. "Por mais que seja interessante, é provavelmente uma ameaça pouo significante comparada a outras por aí", afirmou. Ainda assim, ele considera que foi ruim para o Google ignorar tal ataque.

Esta não é a primeira falha em produtos do Google descoberta por Raff. Em novembro, ele demonstrou como um simples erro de programação no Google.com permitia que crackers criassem ataques do tipo cross-site. em que um site conhecido legitima outro malicioso.

Como os programadores do Google não checaram corretamente o HTML gerado pelo buscador, Raff conseguiu criar um link no Google que, ao ser clicado pela vítima, enganaria o browser a rodar códigos não autorizados. Este tipo de link poderia ser usado na prática para roubar dados pessoais da vítima ou conduzir ataques de phishing.

A falha foi corrigida pelo Google horas após a notificação de Raff.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail