Falha permite espionagem de resultados de buscas e ameaça privacidade

[*AgT'~ 9]

São Paulo, 24 de outubro de 2006 - Uma falha conhecida como de "Cross Site Scripting", presente nos dois browsers mais populares da Internet, o Firefox e o Internet Explorer, permite que um script "dedo-duro" exiba se o usuário pesquisou determinadas palavras por meio de ferramentas de buscas como o Google ou o Yahoo Search. A descoberta foi feita pela empresa de segurança Batori Software & Security.

 

Segundo o consultor de segurança que criou a prova-de-conceito da brecha, Ricardo Kiyoshi, ao acessar uma página maliciosa que contenha o tal script, este último passa a "pesquisar" todo o histórico que está registrado no cache do navegador. Só que esse script é especializado em mecanismos de buscas. "Um exemplo prático: imagine um empresário que quer saber se seu funcionário andou pesquisando os sites dos concorrentes para saber como enviar seu currículo. Isso é um caso sério de invasão de privacidade", explicou Kiyoshi.

 

Em um outro exemplo, só que mais radical, um hacker pode instalar esse script eu uma página do Orkut . Caso determinado usuário acessa a tal página, o script pode enviar para o seu criador informações como todas as comunidades que ele acessou. "O cracker tem nas mãos uma ferramenta versátil, que pode ser programada para realizar várias tarefas e que pode ser adaptada para 'xeretar' qualquer ferramenta de buscas da Web", concluiu o consultor.

 

Para conferir o funcionamento desse mecanismo espião, basta acessar a página de demonstração que a Batori preparou. A dica é colocar no campo de pesquisas alguma palavra que já tenha sido pesquisada pelo Google. Se isso ocorreu, logo abaixo desse campo irá aparecer uma mensagem de confirmação.

 

Fl's