O modelo de segurança do Google está sendo posto a prova por hackers - e o resultado não é agradável para o usuário. Nos últimos dias, várias falhas de segurança foram descobertas em serviços do gigante das buscas, inclusive um problema de roubo de e-mails no GMail. A falha não corrigida no GMail, demonstrada pelo pesquisador Petko Petkov, é particularmente séria porque o usuário não precisa realizar nenhuma ação para ser atacado e é difícil perceber o extravio das mensagens.
Para o ataque, a vítima precisa apenas navegar numa página maliciosa enquanto estiver visitando o GMail. A página maliciosa consegue injetar um filtro de e-mails por cima do próprio filtro de e-mails aplicado pelo usuário, transferindo as mensagens que se encaixam no mesmo. O pior é que o filtro criado maliciosamente consegue transferir as mensagens mesmo se o Google corrigir a falha original.
A ataque é conhecido como Falsificação de Pedidos Entre Sites (CSRF) e já assombrou o Google no passado. Neste ano, a empresa já foi forçada a corrigir uma falha similar que colocou a lista de contatos do GMail em risco.
Um pesquisador de segurança romeno também publicou detalhes de uma falha de scripts maliciosos que afeta usuários da aplicação corporativa de busca do Google. Mustlive, hacker responsável pelo projeto do "Mês de falhas em Mecanismos de Busca", publicou um código prova-de-conceito que expõe as empresas que usam a aplicação.
Uma terceira falha explicada no site Beford.org mostra como um outro problema de scripts maliciosos nas enquetes do Google Blogspot pode ser usado para a obtenção de informações particulares. O parâmetro "font' não estaria sendo protegido de forma adequada antes de ser inserido em tags STYLE, fato que pode ser usado por hackers para a inserção de comandos maliciosos.
O serviço de compartilhamento de fotos Google Picasa também apresenta uma falha que mistura problemas de scripts maliciosos e falsificação de pedidos para que o atacante possa roubar fotografias da vítima. Detalhes técnicos desta falha foram disponibilizados pelos pesquisadores Billy Rios e Nate McFeters.
Assinar:
Postar comentários (Atom)
Nenhum comentário:
Postar um comentário