Passei boa parte do domingo pesquisando alguns relatos de furos de segurança dentro dos serviços oferecidos pela Google. Bem, foi uma árdua missão escolher alguns, pois o número de falhas de segurança é impressionante.

O blog The Register escreveu um artigo que revela diversas falhas descobertas na semana passada a partir de alguns ataques de hackers. Essas falhas vão desde furos no Google Desktop, permitindo que o invasor execute qualquer arquivo no computador invadido, até vulnerabilidades de XSS no Gmail, facilitando que o invasor acesse e apague e-mails do usuário.

O hacker que descobriu a vulnerabilidade no Google Desktop publicou um artigo detalhando o ataque. O invasor insere um código que força o usuário a clicar no resultado do Google Desktop.

Já o ataque ao XSS no Gmail também descoberto na última semana – na minha opinião é mais sério que o ataque ao Desktop -, também foi detalhado nesse artigo. O ataque pode “seqüestrar” uma determinada sessão forçando o usuário a acessar um site falso. Por sorte essa falha foi consertada rapidamente pela equipe de Moutain View logo depois de ter sido postada.

Contudo, a falha mais interessante descoberta na última semana foi encontrada em uma ferramenta muito utilizada por webmaster que solicitam a retirada de um determinado site do Google. Qualquer um que tentasse acessar a árvore de diretórios para ver arquivos nos servidores do Google conseguiria. Por exemplo, o pessoal do blog 0×000000 conseguiu encontrar a senha para uma base de dados da Google fazendo um simples download de um arquivo. De fato, algo deve estar errado na política de segurança em Moutain View, não acham?

Você conhece alguma falha de segurança em algum serviço da Google?

Escreva seu comentário