Pesquisadores de segurança alertam a companhia para um bug que pode permitir o uso do Google Maps para hackear Gmail ou outras contas
As aplicações online do Google estão vulneráveis a ataques, revelaram dois pesquisadores de segurança.
O Gmail, por exemplo, está suscetível a um tipo de ataque que poderia ser usado para roubar dados de login dos usuários.
O pesquisador Adrian Pastor, da GNUCitizen.org, publicou um código de prova de conceito que pode injetar uma página falsa enquanto a barra de endereços do navegador do usuário ainda mostra o domínio do Google, enganando o usuário, que continua a digitar seu login e senha.
Um outro pesquisador de segurança, Aviv Raff, explicou que o Google está vulnerável a “uma falha na segurança do compartilhamento de aplicações web em domínios cruzados”.
O problema afeta outras aplicações além do Gmail. De acordo com Raff, aplicações em subdomínios do Google – mapas, imagens, notícias – estão vulneráveis. Isto significa, por exemplo, que o Google Maps pode ser usado para roubar contas do Gmail ou do google Apps.
Raff diz que avisou o Google sobre o problema logo depois da descoberta, em abril, e que a empresa disse que a questão estava sendo investigada.
“Hoje, depois de não ter nenhuma resposta da equipe de segurança do Google, e depois que Adrian Pastor publicou sua prova de conceito, decidi revelar a informação na esperança de que esta falha seja corrigida o mais rápido possível”, afirmou Raff.
Em relação à prova de conceito, um representante do Google disse que a empresa está consciente do potencial deste tipo de comportamento quando os serviços estão hospedados em múltiplos domínios; e que está tomando as providências para restringir estas falhas onde houver consequências de segurança.
