Falha no Google permite capturar dados de internautas

Em testes feitos por pesquisadores com voluntários foi possível rastrear informações de navegação em 82% dos casos.

Dois pesquisadores da área de segurança demonstraram como uma nova versão da ferramenta de rastreamento Firesheep Wi-Fi permite ter a acesso aos dados de navegação da maioria dos usuários do Google Web History (recurso que faz um histórico de tudo o que você procurou na Internet).

A falha principal utilizada foi descoberta por Vincent Toubiana e Vincent Verdot e utiliza o Session ID (SID) cookie, arquivo utilizado para identificar o internauta durante sua navegação nos serviços oferecidos pelo Google.

Cada vez que um usuário acessa uma aplicação do gigante das buscas, o mesmo SID cookie é enviado. Com o uso da Firesheep, é possível capturar os dados remetidos de um computador conectado a hotspots públicos sem criptografia.

Como vário serviços oferecidos pela Google usam  HTTPS (o Gmail, por exemplo), um cracker (hacker “do mal”) precisa achar um jeito de o usuário reenviar o SID.

O método mais fácil é configurar um ponto de acesso de rede sem fio falso e usar um iFrame (componente de programação) para direcionar o usuário para um serviço do Google, como o Alerts, que não utiliza um canal de comunicação protegido.

Além disso, o ataque também requer que o usuário tenha o Google Web History ativado. Como isso é configurado quando você cria uma conta, muita gente tem o recurso em uso e nem sabe disso. Ao testar o ataque com dez voluntários, os pesquisadores foram capazes de identificar 82% de todos os sites visitados pelas pessoas.
Para evitar esse tipo de acesso indevido durante o uso de hotspots públicos, o usuário pode utilizar uma VPN (rede privada virtual), desligar o Google Web History, excluir o histórico de Web ou simplesmente estar desconectado dos serviços da Google durante esse acesso.

 

Por IDG Now! – Publicado em 12/09/2011

http://idgnow.uol.com.br/seguranca/2011/09/12/falha-no-google-permite-capturar-dados-de-internautas/

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s