Google Docs sofre violação de APIs, afirma especialista

Na última semana, foi veiculada a informação que o Google Docs teria sofrido um ataque de phishing para propagação em massa. Chester Wisniewski, principal cientista de pesquisa da Sophos – fabricante de soluções de segurança para rede e endpoint – afirma que apesar de parecer, à primeira vista, um ataque de phishing, o acontecimento se trata de uma violação de APIs do Google porque os e-mails vêm do Google e o usuário está fazendo login em uma página autêntica do gigante de buscas.

“Os sistemas abertos que permitem a qualquer pessoa se inscrever e entrar como um desenvolvedor usando OAuth – um protocolo de contas no Google, Twitter, Facebook e outros serviços para conectar com aplicativos de terceiros – têm sido, há muito tempo, vulneráveis à ataques. Esse caso não é diferente da violação com malware na Play Store do Google e, por isso, é dever do Google intensificar o trabalho de segurança para examinar os desenvolvedores de apps”, afirma o especialista.

Ele que explica que, na verdade, poucas pessoas suspeitam dos serviços prestados pelo Google, Twitter, Facebook e outros serviços online que utilizam OAuth com um programa de desenvolvedor de aplicativos não confiável. “Os usuários do Twitter foram atacados por meio dessas técnicas há alguns anos. Infelizmente, o Google também foi vítima de um vetor de ataque semelhante. Quando os usuários se deparam com e-mails oficiais do Google e páginas de login oficial utilizadas em fraudes, os usuários podem ser potencialmente prejudicados. Todos os provedores de OAuth são responsáveis por policiar o uso de suas plataformas para impedir que os usuários sejam enganados por solicitações oficiais de serviços como o Google, Twitter e Facebook. Nós sugerimos fortemente que os usuários fiquem de olho nas redes sociais, que podem alertar os demais usuários em casos confirmados de novas tentativas de ataques e violações e reduzir o número de vítimas.”

Vale lembrar que os usuários devem verificar os aplicativos que aprovaram para acessar suas contas e remover tudo o que possa ser suspeito em todas as plataformas baseadas no OAuth. O caminho para verificar os aplicativos no Google é: Conta do Google -> Login e Segurança -> Aplicativos e sites conectados. No Twitter e Facebook o usuário deve ir em Configurações e Privacidade -> Aplicativos.

Entenda como este tipo de ataque funcionou:
1. Você recebe um e-mail real do Google dizendo que alguém quer compartilhar um arquivo com você.
2. Você é direcionado para uma página autêntica de login do Google e faz o login.
3. Você recebe um aviso de que um “add on” quer acesso ao seu e-mail e contatos. O nome do desenvolvedor está listado como “Google Docs”, mas poderia ser qualquer coisa (este é o local onde o Google poderia fazer mais para evitar isso).