Falha de segurança no Google Chrome afetou 2,5 bilhões de usuários
Uma falha de segurança no Chrome tornou vulnerável os dados de mais de 2,5 bilhões de usuários pelo mundo. Segundo a empresa de segurança Imperva Red, o bug, que já foi corrigido, permitia o roubo de arquivos confidenciais — como carteiras de criptomoedas ou credenciais de acesso a serviços em nuvem.
A falha, apelidada CVE-2022-3656, também afetou outros navegadores baseados no Chromium, como Opera e Microsoft Edge. Ela foi descoberta após uma revisão de segurança na maneira como o navegador interage com o sistema de arquivos. Principalmente em como ele processa os “links simbólicos” – um tipo de arquivo que aponta para outro arquivo ou diretório.
Um link simbólico permite que o sistema operacional trate o arquivo ou diretório vinculado como se estivesse no local do link simbólico. Ele é útil para criar atalhos, redirecionar caminhos de arquivos ou organizar arquivos de maneira mais flexível.
A Imperva descobriu que os navegadores não estavam verificando corretamente se o link simbólico apontava para um local que não deveria ser acessível, o que abria uma brecha para o roubo de arquivos confidenciais.
Na prática, um hacker poderia criar um site falso que oferece um novo serviço de carteira criptográfica. O invasor poderia induzir o usuário a criar uma nova carteira e que ele fizesse o download de um arquivo compactado contendo um link simbólico para um arquivo ou pasta no computador que contém chaves de carteiras ou credenciais.
Geralmentea, crteiras criptográficas e outros serviços exigem que os usuários baixem chaves de “recuperação” para acessar suas contas. Essas chaves servem como backup caso o usuário perca o acesso à sua conta por qualquer motivo. Com isso, um hacker poderia contornar as restrições para operar arquivos não autorizados.
O navegador conta com medidas de segurança que pedem a confirmação do usuário se ele tentar fazer o upload de muitos arquivos de uma só vez. Porém, durante os testes, a empresa notou que isso não acontecia em arquivos ou pastas únicos, com os mesmos sendo tratados de maneira diferente, sem que o usuário fosse avisado.
O Google classificou o problema como gravidade média, liberando atualizações de segurança para as versões 107 e 108 do navegador. Esses patches foram disponibilizados a partir de outubro e novembro do ano passado, respectivamente.
Para quem ainda utiliza versões antigas do Chrome, a recomendação é que seja feita a atualização do navegador. Atualmente, a versão 109 do navegador do Google já está disponível para download.