Sistema operacional do Google Chrome é perfeito para invasores

Pesquisadores detalharam, durante o Black Hat, evento sobre segurança que ocorreu em Las  Vegas (Estados Unidos), uma vulnerabilidade nas extensões da plataforma do Google Chrome que garante a invasores uma porta fácil de ataque para roubar senhas, contatos e e-mail dos usuários.

Segundo o chefe de equipe da White Team, Matt Johansen, e o especialista em segurança de aplicativos Kyle Osborn, apesar de o Google se vangloriar sobre a segurança de seu novo sistema operacional móvel, ele é “tão seguro quantos os aplicativos que nele rodam”. Dessa forma, hackers apenas vão mudar a forma de ataque. “Para que se preocupar com o hard drive se é possível pegar o que quiser diretamente da nuvem?”.

As extensões no Google Chrome são geralmente apenas miniaturas de aplicativos de rede e as vulnerabilidades detalhadas por Johansen e Osborn são falhas de scripting cross-site, que permitem ao invasor injetar JavaScript malicioso nas máquinas dos usuários, aproveitando permissões que os apps usam para interagir com as guias do navegador. Isso permite, por exemplo, que o aplicativo acesse a localização do GPS do usuário, histórico de chamadas ou navegador.

O principal problema é que muitas extensões permitem amplas permissões e mais acesso do que o necessário, tal como a habilidade de acessar qualquer site. Alguns apps – como o RSS, notificadores de e-mail e bloco de notas – muitas vezes exigem acesso amplo.

A Apple examina aplicativos que vão para sua AppStore, mas o Google não faz o mesmo com extensões disponibilizadas para o Chrome OS. Isso significa que um invasor pode fazer o upload de uma extensão para o Chrome Web Store e, depois, invadir todos que a baixarem. Osborn exemplificou com sucesso o ato durante sua palestra.

A extensão realiza uma varredura de entradas para verificar outros endereços IP dentro da subnet à qual um dispositivo móvel está conectado, invade o Google Contacts, usa seu login nas sessões do Google para enviar mensagens, iniciar chamadas telefônicas e injetar JavaScript, que podem incluir algo como uma chave de registro para qualquer site.

E, além dos apps maliciosos, podem haver vulnerabilidades até em apps comuns. Os pesquisadores descobriram que o ScratchPad, do Google, permite usar uma injeção scripting cross-site para pegar os contatos do usuário, bem como seus cookies – o que  pode permitir que o invasor tenha acesso por exemplo, ao Gmail ou histórico de chamadas. Mesmo o Google sanando essas vulnerabilidades, os pesquisadores afirmaram que acharam falhas em inúmeros outros apps que podem levar a permissões similares.

Correções

Os pesquisadores mostraram que outra vulnerabilidade no leitor RSS pode ser usada para invadir histórico de senhas no site LastPass se o usuário tiver a extensão LastPass instalada no Chrome. A fornecedora tomou providências desde que essa possível falha foi descoberta e dificultou o acesso exigindo que o usuário efetue o login manualmente quando a guia do site for aberta.

Por sua vez, o Google trabalha para corrigir algumas dessas falhas. Está trabalhando na construção de APIs mais restritivos para os casos de uso de aplicativos comuns – como leitores de RSS – e forneceu ao desenvolvedores um guia de dicas sobre como não utilizar o JavaScript e como evitar permissões desnecessárias em extensões.

Saiba mais:

Análise: Chromebook não é apropriado para usuários que utilizam muito conteúdo local

Vídeo: Google apresenta o Chromebook

Conheça o Chromebook

Samsung Chromebook: primeiras impressões

Android 3.0 é atualizado

ð        Você tem Twitter? Então, siga http://twitter.com/IT_Web e fique por dentro das principais notícias de TI e telecom.