Protocolo URI, que motivou discussão entre Mozilla e MS, pode ser usado para ataques mesmo sem falhar de segurança em browsers.
Os pesquisadores de segurança Billy Rios e Nathan McFeters afirmaram
ter descoberto uma nova maneira pela qual a tecnologia que lida com o
protocolo Uniform Resource Identifier (URI), usada pelo Windows para
ativar programas pelo navegador, pode ser usada para roubar dados da
vítima.
Bugs do tipo se tornaram um tópico em discussão pelo
último mês, desde que o pesquisador Thor Larholm demonstrou como um
browser pode ser enganado para enviar informações maliciosas para o
Firefox usando o método. O bug permitia que crackers rodassem malware
no PC da vítima.
Agora, a dupla demonstrou como crackers podem
usar para fins maliciosos funções legítimas do software que é ativado
pelo protocolo URI, algo conhecido como “exploração baseado em
funcionalidade”.
Os resultados iniciais mostram que pode haver diversos caminhos para tal.
Mesmo
que não divulguem o nome da companhia responsável pelo programa, os
pesquisadores afirmaram que encontraram uma falha importante em um
popular programa que pode ser usado para roubar dados da vítima.
“É
possível pelo URI para roubar conteúdo de formulários da máquina do
usuário e compartilhá-lo para servidores remotos”, afirmou McFeters,
conselheiro de segurança da Ernst & Young. “Isto tudo é possível
apenas pelas funcionalidades oferecidas pelo programa”.
A dupla
pretende divulgar os resultados de seus estudos após o fabricante
conserte o problema, mas este pode ser o começo de novos problemas com
a tecnologia que está começando a ser destrinchada por profissionais de
segurança.
O protocolo é usado para que serviço inicie
aplicativos dentro do micro do usuário com um simples clique de botão.
Ao tentar comprar uma canção no site da Apple, a página envia um pedido
à máquina do PC para que o software iTunes seja aberto sem que o
usuário saia do site.
O Firefox, por exemplo, usa o protocolo
“FirefoxURL” para que usuários possam iniciar o browser fora do
Internet Explorer, da Microsoft, o que acarretou trocas de acusações
entre ambas sobre a responsabilidade da falha.
Outros destaques do COMPUTERWORLD:
> Batalha contra o spam acontece no ambiente errado
> Projeto de lei torna spam crime punível com prisão
> Spam usado para valorizar ações explode em 2006
> Envio de spam atinge recorde histórico em 2007
> Spam, VoIP e SMS podem enfraquecer uso de e-mail
A Mozilla inicialmente imaginou que o bug descrito por Larholm
precisava do IE para ser iniciado, mas a suposição se mostrou errada,
e, duas semanas depois, o time do Firefox foi forçado a corrigir o
problema.
“Caso uma organização como a Mozilla está tendo
problemas em entender como o URI aumenta o escopo dos ataques em seus
aplicativos, pense então como é difícil para uma pequena
desenvolvedora”, afirma McFeters.
