A brincadeira da Google para celebrar o Dia da Mentira (ou 1º de Abril; confira aqui as melhores pegadinhas de 2015) foi recebida com muito bom humor: o site de buscas ficou espelhado, totalmente de trás para frente. Até aí, nenhum problema — só que o pessoal do NetCraft descobriu que, na verdade, a piada envolvia também expor a página a um risco enorme em sua própria segurança.
Durante pouco tempo, a página da Google ficou vulnerável ao chamado "click-jacking", uma prática que permite a um criminoso remoto mudar as preferências e configurações do usuário, incluindo desligar os filtros de busca.
Tudo aconteceu porque, para fazer com que o conteúdo virasse de trás para frente, a Google utilizou um código iframe e desabilitou o cabeçalho (ou header) das opções convencionais de HTTP X-Frame do site. A mudança de parâmetro para causar a alteração visual instruiu o servidor a omitir esse cabeçalho — que está lá justamente por segurança, para impedir que sites de terceiros coloquem a página inicial da Google em seus próprios domínios.
Mais sorte que juízo: o código da Google que disponibiliza o conteúdo ao contrário
Se alguém se desse ao trabalho, seria possível até embedar outros conteúdos nas imagens disponibilizadas pelo Google, substituindo o código original por scripts que levariam você a outros conteúdos.
As mudanças geradas pelos bandidos ficariam em vigor até que o Google "tradicional" fosse acessado. Segundo o NetCraft, a falha de segurança foi resolvida após o envio de um relatório e nenhum caso de crime virtual utilizando essa brecha foi relatado.
Fontes
Categorias
