Uma falha identificada nas novas versões dos dois navegadores mais populares -- o Internet Explorer e o Firefox -- permite que pessoas mal-intencionadas roubem senhas utilizadas por internautas em serviços on-line. A brecha identificada pelo especialista de segurança Robert Chapin foi divulgada pelo site especializado em tecnologia “Cnet”. Segundo Chapin, responsável pelo site
Chapin Information Services, piratas virtuais podem utilizar a brecha para disponibilizar uma falsa página de login quando o usuário visita blogs ou fóruns on-line -- o foco são os sites nos quais pode-se registrar informações na linguagem HTML. Esses dados são repassados diretamente para pessoas mal-intencionadas, que podem utilizar as combinações em golpes virtuais. O problema afeta principalmente os usuários do Firefox 2.0, porque a ferramenta Password Manager preenche automaticamente as senhas salvas nas páginas relacionadas a um mesmo serviço. O Internet Explorer 7 não faz o mesmo, a não ser que a solicitação apareça na página original em que a senha foi preenchida. "O que torna o problema grave é o fato de essas páginas para o preenchimento de senhas não serem exibidas aos usuários. Depois que eles salvam as combinações no Firefox, é possível que os dados sejam transmitidos para outros sites, mesmo sem o conhecimento do internauta", afirmou o especialista. Para exemplificar como a fraude funciona, o site Chapin Information Services divulgou uma prova de conceito do problema. Depois de cadastrar seu login e senha, o usuário entra em uma página com um vídeo do YouTube -- site que, assim como blogs e fóruns, aceita informações em HTML dos internautas. Quando clica sobre o vídeo, os dados confidenciais cadastrados anteriormente aparecem em outro site, mesmo sem a autorização do usuário para isso.
Essa é a primeira falha registrada na nova versão do Firefox -- até então, alguns blogs haviam especulado problemas. O Internet Explorer 7, por outro lado, já teve três outras brechas identificadas pela empresa de segurança Secunia. Chapin já reportou o problema às empresas responsáveis pelos navegadores, que disseram estar trabalhando para resolver o problema.
Essa mesma brecha já foi explorada no site de relacionamentos MySpace, um dos mais populares da categoria nos Estados Unidos. O “Cnet” afirma que a solicitação fraudulenta estava hospedada nos próprios servidores da companhia. Nesse caso, os piratas utilizava a linguagem HTML para esconder o conteúdo verdadeiro da página e exibir um falso cadastro no local.
Nenhum comentário:
Postar um comentário