quinta-feira, 18 de setembro de 2014

G1 - Falha no navegador do Android permite roubo de dados - notícias em Tecnologia e Games


Cookies e senhas armazenadas podem ser capturados.Vulnerabilidade não existe na versão 4.4 do sistema.
O especialista em segurança Rafay Baloch identificou uma vulnerabilidade no navegador padrão do sistema operacional para smartphones e tablets Android, do Google, que permite burlar um importante recurso de segurança chamado de "same origin policy" (SOP). Esse recurso impede que um site acesse dados de outro site, como senhas armazenadas e cookies.

Um invasor pode usar a falha para criar uma página maliciosa que acessa dados que foram armazenados pelo navegador para uso em outros sites, como senhas memorizadas. Basta que o internauta visite o site para que os dados sejam extraviados. Também existe a possibilidade de que um site possa "controlar" a ação do usuário em outro, realizando postagens sem autorização do internauta, por exemplo.

A vulnerabilidade foi descoberta há alguns dias, mas foi ignorada pelo Googleporque a empresa não conseguiu reproduzir o problema. Agora, no entanto, a falha foi confirmada.

O problema foi encontrado por Baloch na versão 4.2.1 do Android, mas outros especialistas já confirmaram que ela funciona em qualquer sistema anterior ao 4.4. Quem possui o Android 4.4 ou mais recente, portanto, não está vulnerável.

Quem não pode instalar essa versão do Android pode usar um navegador diferente do padrão do sistema, como o Opera ou o Firefox. Ainda não há uma correção de segurança disponível para as versões anteriores.

Entenda o problema

Caso você tenha configurado o navegador do Android para lembrar uma senha ou tenha marcado uma opção como "lembrar de mim" em um formulário de login para não precisar fazer login novamente, um site malicioso pode capturar as credenciais de acesso e acessar sua conta naquele site.

Em um navegador moderno, um site é impedido de tentar acessar informações armazenadas pelo navegador para uso em outro site, protegendo o internauta. Em outras palavras, uma página carregada pelo navegador só pode acessar informações pertencentes a ela própria, ou "da mesma origem". Com a brecha, um site "B" consegue convencer o navegador do Android a ceder informações do site "A".

Nenhum comentário:

Postar um comentário

deixe aqui seu comentário