Uma falha em navegadores pode ser usada para roubar dados de acesso de usuários, incluindo login e senha de diversos sites. A brecha de segurança, descoberta por pesquisadores da Universidade de Princeton, nos Estados Unidos, usa o recurso de preenchimento automático dos gerenciadores de senha nativo dos navegadores mais comuns, como o Google Chrome e o Firefox.
O erro vem sendo usado por, pelo menos, duas empresas de marketing para conseguir e-mails de usuários. No entanto, os especialistas acreditam que o bug também poderia servir de ferramenta para que hackers mal intencionados consigam acesso às contas.
Navegadores como Chrome, Firefox, Microsoft Edge ou Ópera possuem um gerenciador de senha padrão. O recurso é útil para economizar tempo ao acessar serviços na Internet, já que grava a senha e o login. O problema, no entanto, está no preenchimento automático.
Os pesquisadores descobriram que, entre 1 milhão de sites listados no ranking Alexa, mais de mil trazem um script para conseguir o e-mail sem o consentimento do usuário. O curioso é a forma como esse procedimento é feito, passando completamente despercebido.
O código cria uma área de login invisível dentro do site. Ao detectá-la, o gerenciador de senha preenche os dados automaticamente. O que torna a situação mais agravante é que, na maioria dos navegadores, as informações de login são carregadas apenas ao acessar a página com o script. Nos testes, somente o Chrome solicitou alguma interação do usuário.
Ao serem carregadas, as informações de login são enviadas para servidores de terceiros. A boa notícia é que nenhum dos sites analisados manda a senha, apenas o e-mail. O erro também não atinge gerenciadores de senha de terceiros e mais robustos como o LastPass ou 1Password. No entanto, nada impede que um hacker possa usar o artifício e roubar também a senha.
Esse tipo de vulnerabilidade nos gerenciadores de senha dos navegadores não é nenhuma novidade. Há pelo menos 11 anos, este assunto é comentado em estudos de segurança online. A dúvida que fica é se em atualizações futuras os browsers vão ser capazes de identificar estes scripts que criam áreas de logins invisíveis.
Você pode testar se o seu navegador está imune ao script com esta página de demonstração criada pelos pesquisadores. Em todo caso, é recomendado desabilitar o preenchimento automático de senha no seu browser e usar a verificação em duas etapas sempre que for possível.
Como saber a senha do meu roteador Wi-Fi? Descubra no Fórum do TechTudo.
>>> Veja o artigo completo no TechTudo
Mais Artigos...
- Como desinstalar apps no Galaxy Gran Duos
- Black Ops 4 para PCs chega apenas ao Battle.net; entenda o que muda
- Delfín x Santos: como assistir ao jogo da Libertadores ao vivo e de graça
- Como gerenciar e adicionar atalhos rápidos no Android O
- Como ignorar as histórias dos seus amigos no Facebook Messenger Day
- Demo P.T. de Silent Hills é recriada por fã com suporte a VR
- Extensão para o Chrome volta com o limite de 140 caracteres do Twitter
- Fallout, RPG da Bethesda, ganhará jogo de tabuleiro ainda em 2018
- Xperia Z3 Compact ou Galaxy S5: veja quem ganha essa 'briga' de smarts
- D-Link anuncia novos roteadores Mesh com assistente de voz e antivírus
- Como colocar novos cenários em LEGO Dimensions no Xbox, PS4, PS3 e Wii U
- Dragon Ball FighterZ terá Goku Instinto Superior como novo lutador
- Google Meet: ferramenta para videoconferência está disponível de graça
- Metro 2033 está de graça na Steam pelas próximas 24 horas
- Kaomoji: Site reúne ‘emojis’ japoneses de ações, sentimentos e mais
- Câmera feita de papelão faz fotos instantâneas em estilo vintage
- Microsoft vai unificar apps do Skype para Windows; entenda o que muda
- Como votar nulo na urna eletrônica? App para Eleições mostra como fazer
- FIFA 18 estará de graça por tempo limitado, veja como baixar
- Como enviar vídeos do PS4 para o Twitter e compartilhar seus gameplays