O pesquisador em segurança digital Rafay Baloch, do Paquistão, publicou uma série de falhas de segurança que permite que hackers executem ataques de spoofing em vários navegadores móveis, como o Safari (Apple) e o Opera Touch (Opera). Basicamente, as vulnerabilidade identificadas permitem que os invasores forcem a instalação de malwares nos dispositivos dos usuários enganados.

“Spoofing”, simplesmente referido por alguns especialistas no Brasil como “Falsificação”, é um tipo de ataque em que um hacker finge ser um dispositivo legítimo. Desta forma, engana os usuários para que acessem uma plataforma maliciosa, abrindo seus sistemas para ataques variados, como roubo de comando da rede, instalação arbitrária de malwares, roubo de informações sigilosas e ainda o contorno de controles de acesso.

Baloch relatou as falhas em um relatório feito em conjunto com a empresa de cibersegurança Rapid7, entregando-os às empresas que criam e gerenciam os navegadores, em agosto. A maior parte delas já promoveu ou anunciou atualizações que corrigem o problema. Entretanto, os navegadores UCWeb e Bolt Browser ainda não parecem ter se manifestado.

O Opera Touch, segundo informou a empresa, deve receber uma atualização pertinente à correção em novembro, enquanto a Apple – que estava duplamente ameaçada uma vez que o Safari se encontrava vulnerável não apenas no iPhone, mas também no macOS – disse ter corrigido o problema em uma atualização recente da versão Big Sur do sistema operacional.

Método de ataque

O problema encontra sua origem no uso de um código malicioso executável em JavaScript, forçando um navegador a alterar a URL na barra de endereços de forma arbitrária, enquanto a página da web ainda estivesse carregando, redirecionando a navegação do usuário para um site determinado pelo invasor.

“A vulnerabilidade ocorre pelo fato do Safari preservar a barra de endereços de uma URL. A função de intervalo de recarga de uma página é de dois milissegundos e, por isso, o usuário não consegue reconhecer o redirecionamento da página original para o endereço falso”, disse Baloch em sua análise.

Trocando em miúdos: um hacker pode criar uma página maliciosa e atrair o usuário para que este abra o link por meio de um e-mail falso ou mensagem de texto, forçando alguém a baixar e instalar um malware ou roubar as suas informações.

Reprodução

Ataques de spoofing fazem com que programas maliciosos se disfarcem de plataformas confiáveis para roubar informações ou instalar malwares nas máquinas de suas vítimas. Imagem: iStock/Reprodução

Baloch ainda relata que, em 2018, o Safari sofreu do mesmo bug, que forçava o navegador da Apple a preservar o endereço original na barra, porém carregando o conteúdo da página falsa por meio de um atraso forçado implementado por um código de JavaScript.

“Em primeiro lugar, é fácil persuadir uma vítima a ter suas credenciais roubadas ou a distribuir malware, caso a barra de endereços aponte para um website confiável e ela não ofereça indicadores de uma falsificação. Em segundo lugar, uma vez que essa vulnerabilidade se aproveita de uma função específica do navegador, ela pode passar despercebida por várias soluções e funções de combate a phishing/spoofing”, acrescentou.

As falhas descobertas em agosto foram divulgadas agora, em conformidade com uma norma da comunidade de segurança da informação, que rege que vulnerabilidades descobertas por terceiros sejam comunicadas às respectivas empresas. Estas, terão um prazo de até 90 dias para se manifestarem. Somente após este período é que o problema – e a solução, se houver – tornam-se conhecidos pelo público.

Fonte: Hacker News