Aplicações do Google estão vulneráveis

As aplicações online do Google estão vulneráveis a ataques, revelaram dois pesquisadores de segurança.

O Gmail, por exemplo, está suscetível a um tipo de ataque que poderia ser usado para roubar dados de login dos usuários.

O pesquisador Adrian Pastor, da GNUCitizen.org, publicou um código de prova de conceito que pode injetar uma página falsa enquanto a barra de endereços do navegador do usuário ainda mostra o domínio do Google, enganando o usuário, que continua a digitar seu login e senha.

Um outro pesquisador de segurança, Aviv Raff, explicou que o Google está vulnerável a “uma falha na segurança do compartilhamento de aplicações web em domínios cruzados”.

O problema afeta outras aplicações além do Gmail. De acordo com Raff, aplicações em subdomínios do Google – mapas, imagens, notícias – estão vulneráveis. Isto significa, por exemplo, que o Google Maps pode ser usado para roubar contas do Gmail ou do google Apps.

Raff diz que avisou o Google sobre o problema logo depois da descoberta, em abril, e que a empresa disse que a questão estava sendo investigada.

“Hoje, depois de não ter nenhuma resposta da equipe de segurança do Google, e depois que Adrian Pastor publicou sua prova de conceito, decidi revelar a informação na esperança de que esta falha seja corrigida o mais rápido possível”, afirmou Raff.

Em relação à prova de conceito, um representante do Google disse que a empresa está consciente do potencial deste tipo de comportamento quando os serviços estão hospedados em múltiplos domínios; e que está tomando as providências para restringir estas falhas onde houver consequências de segurança.