Sites proeminentes foram encontrados com grave falha de codificação

Dois acadêmicos da Universidade de Princeton descobriram um tipo de falha de codificação em vários sites proeminentes que poderiam colocar em risco dados pessoais e, em um caso alarmante, drenar uma conta bancária

O tipo de falha, chamada falsificação de solicitação entre sites (CSRF), permite que um invasor execute ações em um site em nome de uma vítima que já esteja conectada ao site.

As falhas do CSRF foram amplamente ignoradas pelos desenvolvedores da Web devido à falta de conhecimento, escreveu William Zeller e Edward Felten, autor de um trabalho de pesquisa sobre suas descobertas

[Leia mais: Como remover malware do seu PC Windows]

A falha foi encontrada nos sites do The New York Times; ING Direct, um banco de poupança dos EUA; YouTube do Google; e MetaFilter, um site de blogs.

Para explorar uma falha de CSRF, um invasor precisa criar uma página da Web especial e atrair uma vítima para a página. O site mal-intencionado é codificado para enviar uma solicitação entre sites através do navegador da vítima para outro site.

Infelizmente, a linguagem de programação que sustenta a Internet, HTML, facilita fazer dois tipos de solicitações, que podem ser usado para ataques de CSRF, escreveram os autores.

Esse fato aponta como os desenvolvedores da Web estão empurrando o envelope de programação para projetar serviços da Web, mas às vezes com conseqüências não intencionais.

"A causa raiz do CSRF e vulnerabilidades similares complexidades dos protocolos da Web atuais e a evolução gradual da Web de um recurso de apresentação de dados para uma plataforma de serviços interativos ", de acordo com o documento.

Alguns sites definem um identificador de sessão, uma informação armazenada em um cookie, ou um arquivo de dados no navegador, quando uma pessoa faz logon no site. O identificador da sessão é verificado, por exemplo, ao longo de uma compra on-line, para verificar se o navegador está envolvido na transação.

Durante um ataque CSRF, a solicitação do hacker é passada pelo navegador da vítima. O site verifica o identificador da sessão, mas o site não pode verificar se a solicitação veio da pessoa certa.

O problema do CSRF no site do The New York Times, de acordo com o documento, permite que um invasor obtenha o endereço de e-mail do usuário que está conectado ao site. Esse endereço poderia, então, ser potencialmente spam.

O site do jornal tem uma ferramenta que permite que usuários conectados enviem uma história por e-mail para outra pessoa. Se visitado pela vítima, o site do hacker envia automaticamente um comando através do navegador da vítima para enviar um e-mail do site do jornal. Se o endereço de e-mail de destino for o mesmo do hacker, o endereço de e-mail da vítima será revelado.

Em 24 de setembro, a falha não havia sido corrigida, embora os autores tenham notificado o jornal em setembro. 2007.

O problema do ING teve consequências mais alarmantes. Zeller e Felten escreveram a falha do CSRF para permitir que uma conta adicional fosse criada em nome da vítima. Além disso, um invasor pode transferir o dinheiro da vítima para sua própria conta. Desde então, o ING corrigiu o problema, eles escreveram.

No site do MetaFile, um hacker poderia obter a senha de uma pessoa. No YouTube, um ataque pode adicionar vídeos aos "favoritos" de um usuário e enviar mensagens arbitrárias em nome de um usuário, entre outras ações. Em ambos os sites, os problemas do CSRF foram corrigidos

Felizmente, as falhas do CSRF são fáceis de encontrar e de corrigir, que os autores dão detalhes técnicos em seus trabalhos. Eles também criaram um add-on do Firefox que defende contra certos tipos de ataques de CSRF.