Orlen Hafif alertou o Google assim que descobriu a falha, e a companhia demorou dez dias para corrigi-la. Ele relatou todo o processo de roubo de senhas em seu blog, e exibiu como utilizá-la em um vídeo (disponível abaixo).
A demonstração começa a partir de um email de phishing. Como é apenas um exemplo, Hafif parece não ter se preocupado muito com a elaboração do layout e o endereço robô da mensagem, mas, um invasor poderia utilizar um visual e um remetente mais “reais”. O texto traz uma versão levemente modificada do texto padrão do Google, e alerta o usuário que ele deve alterar sua senha.
Ao clicar no link, o usuário é redirecionado a uma página HTTPS, que parece legítima. Contudo, em uma olhada mais minuciosa, era possível verificar que a “URL dentro da URL” não era verdadeira. Além disso, vale lembrar que o processo de recuperação de senhas do Google é relativamente longo – pelo menos é bem maior do que aquele apresentado no vídeo.
Através de um código em JavaScript, a informação inserida na página falsa seria enviada diretamente para o cibercriminoso, e através de um cookie utilizado pelo sistema do Google, era possível fazer com que alguns usuários inexperientes pensem que estão, de fato, no sistema de recuperação do Gmail.
O Google já confirmou que a falha existia, e afirmou que já fez os reparos necessários. Hafif vai receber uma recompensa em dinheiro por ter informado a falha, e vai ganhar um lugar no Hall da Fama da companhia.
- Fonte: http://codigofonte.uol.com.br/noticias/google-corrige-falha-grave-de-seguranca-no-gmail
0 comentários:
Postar um comentário