Chrome e Firefox vulneráveis ​​ao rastreamento pelas sugestões de pesquisa

Pesquisadores de segurança do Nightwatch Cybersecurity descobriram uma maneira de invadir os navegadores Chromium e Firefox em dispositivos móveis e desktop.

Seu método baseia-se no uso do recurso de sugestões de pesquisa que suportam esses navegadores. O problema não é um erro de software, mas a implementação de um design que permita que eles realizem seu ataque.

Chrome e Firefox vulneráveis ​​ao rastreamento pelas sugestões de pesquisa

A maioria dos navegadores de hoje possui um campo de pesquisa ou permite que os usuários pesquisem o URL. Com base nos mecanismos de pesquisa que são suportados em cada navegador, sugestões de pesquisa podem aparecer enquanto o usuário está digitando sua consulta.

Os especialistas do Nightwatch dizem que, se um mecanismo de pesquisa do navegador não proteger essas sugestões de pesquisa por meio de um canal HTTPS criptografado, um invasor na rede local poderá roubar as consultas das sugestões de pesquisa e responder antes do serviço de pesquisa.

Um invasor pode importar grandes quantidades de dados dentro dessa resposta, o que pode levar ao esgotamento da memória do navegador ou do sistema operacional, resultando em falha.

A boa notícia é que os pesquisadores não foram capazes de executar códigos maliciosos durante essas falhas, o que causaria mais problemas aos desenvolvedores de navegadores.

Em seus experimentos, os pesquisadores conseguiram quebrar o navegador de ações Android no Android 4.4, o Chrome 51 no Android 6.01 e o Firefox 47 no Ubuntu 16.04. Além disso, eles conseguiram travar todo o sistema operacional Ubuntu 16.04 ao executar o Chrome 51.

firefοx-crash-ubuntu

Para que essa falha ocorra, como mencionado acima, os usuários devem usar um serviço de pesquisa interno para um navegador que não usa HTTPS. A lista inclui: Ebay para Firefox, AOL e Ask.com para Chrome e Bing e Yahoo para navegador de ações do Android.

Internet Explorer, Edge e Safari não são afetados por esse problema. O Safari teve que lidar com seu próprio crack causado pela pesquisa no início do ano, então sua reputação não é tão “perfeita” quanto você imagina.

Os grupos Android, Chrome e Firefox se recusaram a caracterizar esse erro como um problema de segurança, como na verdade não são, o que significa que uma solução virá relativamente imediatamente.