Mercado fechará em 3 h 7 min
  • BOVESPA

    108.190,12
    -212,16 (-0,20%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    47.133,17
    -221,69 (-0,47%)
     
  • PETROLEO CRU

    89,67
    -1,09 (-1,20%)
     
  • OURO

    1.811,60
    +6,40 (+0,35%)
     
  • BTC-USD

    23.118,82
    -807,22 (-3,37%)
     
  • CMC Crypto 200

    536,35
    -21,00 (-3,77%)
     
  • S&P500

    4.115,58
    -24,48 (-0,59%)
     
  • DOW JONES

    32.787,37
    -45,17 (-0,14%)
     
  • FTSE

    7.488,15
    +5,78 (+0,08%)
     
  • HANG SENG

    20.003,44
    -42,33 (-0,21%)
     
  • NIKKEI

    27.999,96
    -249,28 (-0,88%)
     
  • NASDAQ

    12.983,50
    -199,75 (-1,52%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    5,2462
    +0,0368 (+0,71%)
     

Falha inédita no Chrome foi usada para espionar jornalistas e ativistas

  • Opa!
    Algo deu errado.
    Tente novamente mais tarde.
  • Opa!
    Algo deu errado.
    Tente novamente mais tarde.
Neste artigo:
  • Opa!
    Algo deu errado.
    Tente novamente mais tarde.
  • Opa!
    Algo deu errado.
    Tente novamente mais tarde.

Uma vulnerabilidade zero-day no Google Chrome estava sendo usada para espionar jornalistas, ativistas e outras figuras de interesse em pelo menos quatro países. O objetivo era instalar spyware nos computadores das vítimas para obtenção de informações sobre o dispositivo e assuntos de interesse.

De acordo com a empresa de segurança Avast, responsável pela descoberta, o spyware DevilsTongue, desenvolvido pela empresa israelense Candiru, estava sendo usado nas contaminações. O relatório não indica a finalidade da operação de espionagem, mas dá para pensar que ela teria fins políticos devido ao caráter da corporação envolvida e, também, o objetivo do comprometimento, que aconteceu contra usuários da Turquia, Palestina, Iêmen e Líbano.

A brecha denominada CVE-202202294 estava em um sistema chamado WebRTC, uma API que permite realizar chamadas de voz ou vídeo e o compartilhamento de arquivos pelo navegador. A exploração começou a ser registrada em março deste ano a partir de sites aparentemente legítimos, sem que fosse preciso qualquer interação da vítima com anúncios, links ou demais elementos das páginas comprometidas.

Um dos casos, por exemplo, foi o de uma agência de notícias libanesa, que não foi identificada. Códigos JavaScript foram implantados para direcionar o acesso a servidores sob o controle dos criminosos, onde acontecia a exploração de buffer overflow, permitindo o acesso a partes anteriormente restritas da memória, onde era instalado o DevilsTongue. Na sequência, ele usava drivers para escalar privilégios e obter acesso a recursos do sistema, a partir de uma segunda vulnerabilidade zero-day.

Segundo a Avast, 50 pontos de dados eram extraídos após o comprometimento, incluindo idioma, informações de hardware, extensões instaladas, cookies baixados e tempo de utilização. A ideia seria obter informações sobre notícias e relatórios que estariam sendo pesquisados pelos alvos, com um sistema de validação que enviava dados aos servidores dos criminosos ou não de acordo com o que era encontrado pela praga.

Outra hipótese, voltada especificamente a jornalistas e ativistas da causa humanitária, é a busca pelas identidades de fontes ou pessoas que estão sendo auxiliadas. Tais dados podem ser mantidos publicamente em sigilo, mas a partir de pesquisas em redes sociais ou registros de conversas, por exemplo, seria possível obter informações sobre quem elas são, o que reforça ainda mais a hipótese de que estados-nação poderiam estar por trás do ataque.

Falha corrigida

A brecha descoberta em março deste ano foi corrigida pelo Google em update para o Chrome liberada em 4 de julho. Como o problema estava no protocolo WebRTC, ele também poderia atingir o navegador Safari, da Apple, também já atualizado, ainda que, no caso do ataque descrito pela Avast, somente usuários de Windows fossem o alvo.

A Candiru não se pronunciou sobre o assunto, enquanto o relatório da empresa de segurança traz mais detalhes técnicos sobre a abertura e indicadores de comprometimento.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos