Falha em navegadores permite roubo de dados

Falha em navegadores permite roubo de dados

Uma funcionalidade presente nos navegadores para facilitar a vida do usuário pode estar servindo de meio para roubo de dados.  Pesquisadores de segurança da Universidade de Princeton descobriram que uma falha nos navegadores permite que empresas de marketing capturem endereços de email para publicidade direcionada.

Os navegadores modernos (Microsoft Edge, Google Chrome, Mozilla Firefox, entre outros) possuem o gerenciador de senhas, que permite salvar as informações de login para o preenchimento automático de formulários. Com a descoberta desse bug a preocupação é que hackeres usem essa brecha para ter acesso às contas.

Foi descoberto na pesquisa que cerca de mil sites entre 1 milhão dos sites listados no ranking Alexa trazem um script para capturar emails sem a permissão do usuário. O script cria uma área de login que fica escondida no site, enganando o gerenciador de senhas que preenche os campos automaticamente sem que o usuário saiba.

“O preenchimento automático do formulário de login em geral não requer interação do usuário; todos os navegadores modernos irão preencher automaticamente o nome de usuário (geralmente um endereço de e-mail) imediatamente, independentemente da visibilidade do formulário”, dizem os pesquisadores.

“O Chrome não enche o campo de senha automaticamente até o usuário clicar ou tocar em qualquer lugar na página. Outros navegadores testados não exigem interação do usuário para preencher automaticamente os campos da senha”.

As informações obtidas são enviadas para servidores de terceiros.  Dos sites que os pesquisadores encontraram nenhum deles captura a senha, porém não há como impedir que tenham acesso a essa informação também.

Mas, nem todos os gerenciadores estão propensos a ataques, a exemplo do  LastPass e 1Password, que são gerenciadores de terceiros que não fazem o preenchimento automático de formuláriois invisíveis e exigem a interação do usuário.

Os pesquisadores criaram uma página de demonstração, onde é possível testar se o seu navegador está propenso a esse erro tornando seus dados vulneráveis. Porém a melhor maneira ainda é desabilitar o preenchimento automático para garantir a segurança total.

Fonte: TheHackerNews


(adsbygoogle = window.adsbygoogle || []).push({});

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *