Criadores do Firefox alertam usuários sobre “tabnabbing”, nova estratégia de ataques online

Conforme a web aberta cresce e evolui, abre-se espaço para um nível considerável de inovação em sites e web apps, mas isso vem acompanhado de um preço: a preocupação com segurança. Uma das coisas que os criadores de ataques começaram a explorar nos últimos tempos foram os aprimoramentos no uso de CSS e JavaScript, arquitetando meios de essas linguagens trabalharem juntas para oferecer distrações aos usuários e, dessa forma, iludi-los com falsas páginas que podem pedir informações confidenciais.

[vimeo]http://vimeo.com/12003099[/vimeo]

Foi dessa forma que os criadores do Firefox descobriram uma nova estratégia de ataques online denominada “tabnabbing”. O nome é estranho, mas ela é simples de entender: usando as linguagens destacadas acima, um hacker pode colocar pequenos pedaços de código em uma página maliciosa que identificarão quando o usuário alternar para outro site (seja em outra aba ou em outra janela), fazendo com que ela altere seu conteúdo para parecer uma outra página qualquer.

Por tirar proveito de recursos da web, trata-se de um ataque independente de qualquer browser ou sistema operacional que afeta os principais aplicativos para navegação online. Um artigo feito por Aza Raskin (líder de design do Firefox) detalha o seu conceito e explica diversas técnicas que hackers podem usar para criar sites maliciosos e enganar usuários — aliás, se você sair do artigo dele para qualquer outra aba ou janela e deixá-lo inativo por cinco segundos, a página onde ele está mudará para uma interface de login no Gmail, como exemplo.

No entanto, há formas de identificar tabnabbing e prevenir-se de qualquer coisa que esse ataque pode oferecer de forma maliciosa para você:

  • A depender do caso, um hacker pode alterar o conteúdo de uma página comum, mas o endereço dela continuará o mesmo na barra principal do seu navegador. Quem for mais atento compreenderá que o site é malicioso e terá a oportunidade de reportá-lo para a criadora do browser, que poderá bloqueá-lo usando suas técnicas de proteção contra phishing.
  • Por outro lado, se um hacker redirecioná-lo para outro domínio, identificar uma tentativa de ataque poderá ser mais difícil. Nesse ponto, os usuários do 1Password no Mac OS X não precisam se preocupar, pois ao usá-lo como gerenciador de senhas para a internet em vez do seu próprio browser, você não conseguirá inserir credenciais de login fora do endereço no qual elas foram salvas. Trata-se de um camada extra de proteção que o impedirá de ser enganado, assim como em qualquer outra página maliciosa.

Por ora, tabnabbing continuará como uma estratégia de ataque aberta para centenas milhões de pessoas, mas a Mozilla já se comprometeu a solucionar potenciais brechas existentes para ela no Firefox o mais rápido possível. Além de ter mudado o comportamento dos históricos de uso do aplicativo nos seus últimos builds (o que significa que isso está agendado para um próximo update), ela está trabalhando em um sistema de gerenciamento de contas de usuário em sites para a sua futura versão 4, que dispensará a necessidade de adquirir produtos como o 1Password em qualquer plataforma.

[via TUAW]

Posts relacionados

Comentários