Saltar para o conteúdo principal

Publicidade

Publicidade

 
 
  Siga a Folha de S.Paulo no Twitter
26/05/2011 - 12h18

Falha no Internet Explorer permite roubo de cookies

Publicidade

DA REUTERS, EM BOSTON

Um pesquisador de segurança em computadores encontrou uma falha no navegador Internet Explorer, da Microsoft, que, segundo ele, poderia permitir a hackers roubar credenciais de acesso a Facebook, Twitter e outros sites. Ele chama a técnica de "cookiejacking".

"Qualquer site. Qualquer cookie. O limite está em sua imaginação", disse Rosario Valotta, um pesquisador independente de segurança na internet que trabalha na Itália.

Hackers poderiam explorar a falha para ganhar acesso a arquivos armazenados pelo navegador conhecidos como cookies, alguns dos quais contêm nomes de usuário e senhas para uma conta na web, afirmou Valotta, via e-mail.

Quando o hacker captura um cookie, pode usá-lo para ganhar acesso ao mesmo site, disse Valotta.

A vulnerabilidade afeta todas as versões do Internet Explorer, incluindo o IE 9, e todas as versões do sistema operacional Windows.

Para explorar a falha, o hacker precisa persuadir a vítima a arrastar e soltar um objeto pela tela do computador, antes que o cookie possa ser sequestrado.

A tarefa parece difícil, mas Valotta disse que conseguiu realizá-la com certa facilidade. Ele criou um quebra-cabeças no Facebook que desafiava os usuários a "despir" a foto de uma mulher atraente.

"Coloquei o jogo no Facebook e, em menos de três dias, naus de 80 cookies foram envaidos ao meu servidor", disse. "E só tenho 150 amigos em minha lista."

A Microsoft afirmou que é pequeno o risco de um hacker obter sucesso com um golpe de cookiejacking no mundo real.

"Dado o requerido nível de interação do usuário, a questão não é vista por nós como de alto risco", disse Jerry Bryant, porta-voz da companhia.

"Para que seja afetado, um usuário precisaria visitar um site malicioso e ser convencido a clicar e arrastar itens pela página, e o atacante teria que alvejar um coookie de um site ao qual o usuário estivesse conectado naquele momento", disse Bryant.

 

Publicidade

Publicidade

Publicidade


Voltar ao topo da página