Jump to content

Google E Mozilla Pagam A Quem Encontrar Falhas - Update

Spark

By Spark
in Geral

 Share

Recommended Posts

Spark

Spark

Posted
Posted (edited)
Google Incentiva ataques ao Chrome

A google lançou um programa experimental para encorajar os investigadores(externos a Google) da área de segurança, a realizarem investigações de forma a encontrarem vulnerabilidade no seu browser. À semelhança do que aconteceu em 2004 através do programa Security Bug Bounty da Fundação Mozilla, as descobertas são premiadas com um valor de US$500 por cada bug encontrado.Em alguns casos o comité decide aumentar a fasquia para os US$1,337

Ainda de acordo com a Google, não importa se a vulnerabilidade encontrada estiver associada a versão de código aberto do chrome ou no binário. Um nota importante, é que os bugs encontrados em plugins de terceiros não contam para se ganhar o valor anunciados. Neste sentido, a Google espera poder melhorar o seu browser e assim transmitir mais confiança aos utilizadores.Qualquer bug encontrado poderá ser reportado via bug tracking system, da Google.

Voluntários? :-..

Edited by Spak
Link to comment
Share on other sites
  • 5 months later...
jr_cardoso

jr_cardoso

Posted
Posted

Upa...

Exploit põe em causa segurança do Chrome

O Chrome é tido como um dos Browsers mais seguros da actualidade. Devido à sua diminuta quota de mercado, tem gozado durante algum tempo desse estatuto. Mas há medida que tem registado um aumento galopante na quota de mercado dos navegadores Web, era apenas uma questão de tempo até ser concebida uma extensão engenhosa pondo em causa a sua segurança e a dos seus utilizadores.

O programador Andreas Grech desenvolveu uma extensão para o Chrome, utilizando as bibliotecas de Ajax jQuery, de modo a monitorizar as credenciais de login num formulário e enviá-las para o seu mail. Segundo o próprio:

“O Google Chrome, permite a instalação de extensões desenvolvidas por terceiros que permite estender as funcionalidades do browser. As extensões são escritas em Javascript e HTML e permite uma manipulação do DOM, entre outras potencialidades.

Ao permitir acesso ao DOM, um atacante pode percorrê-lo e ler campos, inclusive o nome de utilizador e palavra pass. Foi esta a ideia que me levou a desenvolver este Proof of Concept

A extensão que apresento é bastante simples. Quando um utilizador submete um formulário, esta tenta capturar o conteúdo dos campos referentes ao nome de utilizador e password, manda-me um mail com esta informação e a url via uma chamada por Ajax a um script e depois procede à submissão normal do formulário de modo a evitar que haja uma detecção deste processo.”

O código para conseguir este “exploit”, está disponível no blog do autor. Esta falha demonstra que apesar de o sistema de extensões do Chrome ser uma funcionalidade que há muito tempo era esperada de modo a este browser se aproximar de todo o potencial que conhecemos no Firefox, não deixa de ironicamente ser o seu calcanhar de Aquiles.

Este desleixo da forma como foi pensado o sistema de extensões do Chrome, abre uma porta escancarada ao computador dos seus utilizadores, pronta a ser utilizada por qualquer hacker mal intencionado, que queira injectar várias vertentes de malware. Tudo se resume a uma falha gravíssima de segurança, explorável por um código tão simples.

Talvez seja por isso, que a Firefox sempre apostou numa linguagem própria (o XUL), que é a tecnologia que está por detrás do seu browser, e que é simultaneamente usada no seu sistema de extensões, em vez de HTML e Javacript que são mais de domínio público e de fácil aprendizagem para orquestrar estes ataques. Isto tudo no nosso ponto de vista, demonstra que nesta particular funcionalidade a Google não tem a experiencia da Mozilla e que tem muito ainda um longo caminho a percorrer em aperfeiçoar o frágil sistema de extensões do Chrome.

Cuidado utilizadores do Chrome... esta aparentemente é a 1ª extensão que aparece, mas como o seu criador deixou o código no seu blog, algo me diz que aparecem já outras tantas para usar o mesmo exploit.

B)

Link to comment
Share on other sites
Spark

Spark

Posted
  • Author
Posted

Agora o Mozilla também quer entrar na 'festa'...

Google e Mozilla pagam a quem encontrar falhas

A Mozilla dá entre 500 e três mil dólares a quem encontrar falhas no Firefox. A Google aumentou a parada para um número marcante: 3133,70 dólares para quem descobrir erros graves no Chrome.

A recompensa da Google é um claro piscar de olhos à comunidade de "elite" da Internet. A Google explica que, desde que lançou o programa, apenas pagou uma vez a recompensa máxima a alguém. A recompensa de mil dólares já foi paga a seis programadores, 14 receberam 500 dólares e um chegou a receber 509 dólares.

Alguns especialistas em segurança chegam a ceder as recompensas que conseguem para obras de caridade.

@ Exame Informática

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.

  I accept