Falha de segurança no Google Chrome afetou 2,5 bilhões de usuários

Bug no Chrome permitia roubo de arquivos e carteiras criptomoedas. Falha ainda é um risco para quem está com o navegador desatualizado
Google alerta para falha de segurança no Chrome; veja como corrigir
Imagem: Pexels/Reprodução

Uma falha de segurança no Chrome tornou vulnerável os dados de mais de 2,5 bilhões de usuários pelo mundo. Segundo a empresa de segurança Imperva Red, o bug, que já foi corrigido, permitia o roubo de arquivos confidenciais — como carteiras de criptomoedas ou credenciais de acesso a serviços em nuvem.

A falha, apelidada CVE-2022-3656, também afetou outros navegadores baseados no Chromium, como Opera e Microsoft Edge. Ela foi descoberta após uma revisão de segurança na maneira como o navegador interage com o sistema de arquivos. Principalmente em como ele processa os “links simbólicos” – um tipo de arquivo que aponta para outro arquivo ou diretório.

Um link simbólico permite que o sistema operacional trate o arquivo ou diretório vinculado como se estivesse no local do link simbólico. Ele é útil para criar atalhos, redirecionar caminhos de arquivos ou organizar arquivos de maneira mais flexível.

A Imperva descobriu que os navegadores não estavam verificando corretamente se o link simbólico apontava para um local que não deveria ser acessível, o que abria uma brecha para o roubo de arquivos confidenciais.

Na prática, um hacker poderia criar um site falso que oferece um novo serviço de carteira criptográfica. O invasor poderia induzir o usuário a criar uma nova carteira e que ele fizesse o download de um arquivo compactado contendo um link simbólico para um arquivo ou pasta no computador que contém chaves de carteiras ou credenciais.

Geralmentea, crteiras criptográficas e outros serviços exigem que os usuários baixem chaves de “recuperação” para acessar suas contas. Essas chaves servem como backup caso o usuário perca o acesso à sua conta por qualquer motivo. Com isso, um hacker poderia contornar as restrições para operar arquivos não autorizados.

O navegador conta com medidas de segurança que pedem a confirmação do usuário se ele tentar fazer o upload de muitos arquivos de uma só vez. Porém, durante os testes, a empresa notou que isso não acontecia em arquivos ou pastas únicos, com os mesmos sendo tratados de maneira diferente, sem que o usuário fosse avisado.

O Google classificou o problema como gravidade média, liberando atualizações de segurança para as versões 107 e 108 do navegador. Esses patches foram disponibilizados a partir de outubro e novembro do ano passado, respectivamente.

Para quem ainda utiliza versões antigas do Chrome, a recomendação é que seja feita a atualização do navegador. Atualmente, a versão 109 do navegador do Google já está disponível para download.

Hemerson Brandão

Hemerson Brandão

Hemerson é jornalista, escreve sobre espaço, tecnologia e, às vezes, sobre outros temas da cultura nerd. Ele também é grande entusiasta de astronomia, interessado em exploração espacial e fã de Star Trek.

fique por dentro
das novidades giz Inscreva-se agora para receber em primeira mão todas as notícias sobre tecnologia, ciência e cultura, reviews e comparativos exclusivos de produtos, além de descontos imperdíveis em ofertas exclusivas