1º de Abril da Google gerou falha grave de segurança no próprio site

1 min de leitura
Imagem de: 1º de Abril da Google gerou falha grave de segurança no próprio site
Imagem: NetCraft

A brincadeira da Google para celebrar o Dia da Mentira (ou 1º de Abril; confira aqui as melhores pegadinhas de 2015) foi recebida com muito bom humor: o site de buscas ficou espelhado, totalmente de trás para frente. Até aí, nenhum problema — só que o pessoal do NetCraft descobriu que, na verdade, a piada envolvia também expor a página a um risco enorme em sua própria segurança.

Durante pouco tempo, a página da Google ficou vulnerável ao chamado "click-jacking", uma prática que permite a um criminoso remoto mudar as preferências e configurações do usuário, incluindo desligar os filtros de busca.

Tudo aconteceu porque, para fazer com que o conteúdo virasse de trás para frente, a Google utilizou um código iframe e desabilitou o cabeçalho (ou header) das opções convencionais de HTTP X-Frame do site. A mudança de parâmetro para causar a alteração visual instruiu o servidor a omitir esse cabeçalho — que está lá justamente por segurança, para impedir que sites de terceiros coloquem a página inicial da Google em seus próprios domínios.

Mais sorte que juízo: o código da Google que disponibiliza o conteúdo ao contrário

Se alguém se desse ao trabalho, seria possível até embedar outros conteúdos nas imagens disponibilizadas pelo Google, substituindo o código original por scripts que levariam você a outros conteúdos.

As mudanças geradas pelos bandidos ficariam em vigor até que o Google "tradicional" fosse acessado. Segundo o NetCraft, a falha de segurança foi resolvida após o envio de um relatório e nenhum caso de crime virtual utilizando essa brecha foi relatado.

Você sabia que o TecMundo está no Facebook, Instagram, Telegram, TikTok, Twitter e no Whatsapp? Siga-nos por lá.