Um pesquisador de segurança em computadores encontrou uma falha no navegador Internet Explorer, da Microsoft, que, segundo ele, poderia permitir a hackers roubar credenciais de acesso a Facebook, Twitter e outros sites. Ele chama a técnica de "cookiejacking".
"Qualquer site. Qualquer cookie. O limite está em sua imaginação", disse Rosario Valotta, um pesquisador independente de segurança na internet que trabalha na Itália.
Hackers poderiam explorar a falha para ganhar acesso a arquivos armazenados pelo navegador conhecidos como cookies, alguns dos quais contêm nomes de usuário e senhas para uma conta na web, afirmou Valotta, via e-mail.
Quando o hacker captura um cookie, pode usá-lo para ganhar acesso ao mesmo site, disse Valotta.
A vulnerabilidade afeta todas as versões do Internet Explorer, incluindo o IE 9, e todas as versões do sistema operacional Windows.
Para explorar a falha, o hacker precisa persuadir a vítima a arrastar e soltar um objeto pela tela do computador, antes que o cookie possa ser sequestrado.
A tarefa parece difícil, mas Valotta disse que conseguiu realizá-la com certa facilidade. Ele criou um quebra-cabeças no Facebook que desafiava os usuários a "despir" a foto de uma mulher atraente.
"Coloquei o jogo no Facebook e, em menos de três dias, naus de 80 cookies foram envaidos ao meu servidor", disse. "E só tenho 150 amigos em minha lista."
A Microsoft afirmou que é pequeno o risco de um hacker obter sucesso com um golpe de cookiejacking no mundo real.
"Dado o requerido nível de interação do usuário, a questão não é vista por nós como de alto risco", disse Jerry Bryant, porta-voz da companhia.
"Para que seja afetado, um usuário precisaria visitar um site malicioso e ser convencido a clicar e arrastar itens pela página, e o atacante teria que alvejar um coookie de um site ao qual o usuário estivesse conectado naquele momento", disse Bryant
Nenhum comentário:
Postar um comentário