Exame Logo

Falha no Internet Explorer permite "sequestro de cookies"

Sequestro de dados permite que invasores consigam senhas de acesso ao Facebook, Twitter e outros sites acessados pelo usuário

A vulnerabilidade afeta todas as versões do Internet Explorer, incluindo o IE 9 (Getty Images)
DR

Da Redação

Publicado em 26 de maio de 2011 às 14h00.

Boston - Um pesquisador de segurança na computação encontrou um defeito no navegador Internet Explorer, da Microsoft, que segundo ele poderia permitir que hackers senhas de acesso ao Facebook, Twitter e outros sites. Ele definiu a técnica como "sequestro de cookies".

"Qualquer site. Qualquer cookie. O limite está em sua imaginação", disse Rosario Valotta, um pesquisador independente de segurança na Internet que trabalha na Itália.

Hackers poderiam explorar a falha para ganhar acesso arquivos armazenados pelo navegador e conhecidos como "cookies", alguns dos quais contém os nomes de usuário e senhas para uma determinada conta na Web, afirmou Valotta em mensagem de email.

Quando o hacker captura um cookie, pode usá-lo para ganhar acesso ao mesmo site, disse Valotta, que definiu a técnica como "sequestro de cookies".

A vulnerabilidade afeta todas as versões do Internet Explorer, incluindo o IE 9, e todas as versões do sistema operacional Windows.

Para explorar a falha, o hacker precisa persuadir a vítima a arrastar um objeto pela tela do computador, antes que o cookie possa ser sequestrado.

A tarefa parece difícil, mas Valotta disse que conseguiu realizá-la com certa facilidade. Ele criou um quebra-cabeças no Facebook que desafiava os usuários a "despir" a foto de uma mulher atraente.

"Coloquei o jogo no Facebook e em menos de três dias meu servidor recebeu mais de 80 cookies", disse. "E só tenho 150 amigos em minha lista."


A Microsoft afirmou que não existe grande risco de um hacker obter sucesso com uma trama de sequestro de cookies.

"Dado o nível de interação requerido do usuário, a questão não é vista por nós como de alto risco", disse Jerry Bryant, porta-voz da companhia.

"Para que seja afetado, um usuário precisaria visitar um site suspeito, ser convencido a arrastar itens pela página e o atacante teria de ter por alvo o coookie de um site ao qual o usuário estivesse conectado naquele momento", disse Bryant.

Veja também

Boston - Um pesquisador de segurança na computação encontrou um defeito no navegador Internet Explorer, da Microsoft, que segundo ele poderia permitir que hackers senhas de acesso ao Facebook, Twitter e outros sites. Ele definiu a técnica como "sequestro de cookies".

"Qualquer site. Qualquer cookie. O limite está em sua imaginação", disse Rosario Valotta, um pesquisador independente de segurança na Internet que trabalha na Itália.

Hackers poderiam explorar a falha para ganhar acesso arquivos armazenados pelo navegador e conhecidos como "cookies", alguns dos quais contém os nomes de usuário e senhas para uma determinada conta na Web, afirmou Valotta em mensagem de email.

Quando o hacker captura um cookie, pode usá-lo para ganhar acesso ao mesmo site, disse Valotta, que definiu a técnica como "sequestro de cookies".

A vulnerabilidade afeta todas as versões do Internet Explorer, incluindo o IE 9, e todas as versões do sistema operacional Windows.

Para explorar a falha, o hacker precisa persuadir a vítima a arrastar um objeto pela tela do computador, antes que o cookie possa ser sequestrado.

A tarefa parece difícil, mas Valotta disse que conseguiu realizá-la com certa facilidade. Ele criou um quebra-cabeças no Facebook que desafiava os usuários a "despir" a foto de uma mulher atraente.

"Coloquei o jogo no Facebook e em menos de três dias meu servidor recebeu mais de 80 cookies", disse. "E só tenho 150 amigos em minha lista."


A Microsoft afirmou que não existe grande risco de um hacker obter sucesso com uma trama de sequestro de cookies.

"Dado o nível de interação requerido do usuário, a questão não é vista por nós como de alto risco", disse Jerry Bryant, porta-voz da companhia.

"Para que seja afetado, um usuário precisaria visitar um site suspeito, ser convencido a arrastar itens pela página e o atacante teria de ter por alvo o coookie de um site ao qual o usuário estivesse conectado naquele momento", disse Bryant.

Acompanhe tudo sobre:BrowsersEmpresasEmpresas americanasempresas-de-tecnologiaHackersInternetInternet ExplorerMicrosoftTecnologia da informação

Mais lidas

exame no whatsapp

Receba as noticias da Exame no seu WhatsApp

Inscreva-se

Mais de Tecnologia

Mais na Exame