Home » Meio Bit » Google » 1º de abril do Google gerou uma falha grave de segurança

1º de abril do Google gerou uma falha grave de segurança

Brincadeira do Google pode ter saído caro: para o elgooG funcionar cabeçalho essencial para a segurança foi desativado, deixando o site vulnerável

4 anos atrás

elgoog

O Google até que fez uma piadinha legal de primeiro de abril com o elgooG, a versão espelhada do site de buscas. O melhor é que tudo era funcional, dava para realizar as buscas normalmente — desde que você não ficasse tonto vendo tudo ao contrário. Leonardo Da Vinci testou e aprovou, entretanto.

Tudo muito bom, uma brincadeirinha inocente para alegrar o dia da mentira, certo? Nem tanto: foi descoberto que a piada criou uma brecha de segurança, e bem grave.

De acordo com o pessoal do NetCraft, para fazer a brincadeira funcionar o Google teve que desabilitar um header via código iframe. Com isso o site ficou por várias horas vulnerável a uma técnica chamada “click-jacking”, em que um hacker pode mudar remotamente as preferências do usuário, inclusive desligando os filtros do SafeSearch.

html

Código HTML utilizado para inverter o Google

O header X-Frame-Options serve para justamente impedir que engraçadinhos anexem a home do Google em seus próprios sites. Porém, como para o elgooG funcionar ele teve que ser desativado. Um hacker poderia capturar a página, inserir códigos maliciosos e mudar as funções de alguns links. Em resumo, a piadinha do Google criou uma situação bem séria.

O potencial destrutivo é bem grande: num teste realizado pelo NetCraft o site de um terceiro pode exibir as configurações do Google Search em suas páginas. Bastava mascarar o conteúdo e um hacker poderia em tese dar uma bela dor de cabeça a qualquer usuário num piscar de olhos.

Como o NetCraft enviou o resultado de sua pesquisa ao Google, é mais do que certo que tal gafe não será cometida novamente. A questão que fica entretanto é: hackers chegaram a se aproveitar da falha? E se sim, qual o tamanho do estrago?

Fonte: Ars Technica.

relacionados


Comentários