Ao digitar uma senha ou número de cartão de crédito em um site de compras, o consumidor espera que seus dados confidenciais estejam protegidos por alguma barreira de segurança. Nem sempre é esse o caso, revelam pesquisadores de segurança cibernética da Universidade de Wisconsin, nos Estados Unidos.
O que aconteceu
- A equipe inclui os alunos de PHD Rishabh Khandelwal, Asmit Nayak e Kassem Fawaz, professor de engenharia elétrica e computação da universidade.
- Eles descobriram que sites populares são vulneráveis a extensões de navegador que podem extrair dados do usuário, como senhas, informações de cartão de crédito e mais, por meio de código HTML.
- O trio descobriu o problema pela primeira vez enquanto investigava páginas de login do Google.
Estávamos apenas mexendo nas páginas de login e no código-fonte HTML podíamos ver a senha em texto. Pensamos: ‘Isso é interessante. Por que isso está acontecendo? É possível que outros sites estejam fazendo algo semelhante?’ Então começamos a cavar mais fundo
Asmit Nayak, um dos participantes do estudo.
No fim, os pesquisadores notaram que cerca de 15% dos mais de 7.000 sites que visitaram armazenavam informações confidenciais como texto simples no código-fonte HTML. Embora muitas medidas de segurança impeçam que hackers acessem esses dados, a equipe levantou a hipótese de que seria possível encontrá-los usando uma extensão de navegador.
Uma extensão maliciosa poderia usar código para obter informações de login, senhas e outros dados protegidos dos usuários, alerta a pesquisa: “Uma extensão pode acessar facilmente as senhas dos usuários”, disse Fawaz. “não há nada que impeça isso”.
Pesquisando extensões disponíveis para o navegador Google Chrome, a equipe identificou ainda que 12,5% delas tinham permissões necessárias para explorar esta vulnerabilidade. Um hacker poderia “obter acesso às senhas com muita facilidade”, concluiu Khandelwal.
Afinal, por que essa brecha existe?
A segurança do navegador é configurada dessa forma para permitir que extensões populares de gerenciadores de senhas acessem essas informações, dizem os pesquisadores.
De qualquer forma, o Google disse em comunicado que está investigando o assunto, mas não considera que se trate de uma falha de segurança, especialmente se as permissões para as extensões estiverem configuradas corretamente.
No fim, o trio espera que sua pesquisa convença as empresas a repensar como as páginas lidam com informações confidenciais. Uma proposta é que um alerta seja disparado quando dados confidenciais dos usuários forem acessados por alguma extensão.
Extensões de navegador são pequenos programas instalados no browser do seu computador ou celular para desempenhar funções específicas, como mudar o visual ou a exibição de conteúdo em certas páginas, por exemplo.