domingo, 3 de novembro de 2013

Chrome coloca usuários em risco ao facilitar preenchimento de formulários

Especialistas avisam que os usuários do Google Chrome devem tomar precauções extras quando usarem o navegador da empresa para digitar dados pessoais, como números de cartões de crédito, em formulários dentro de websites.

Implementações de segurança adicionais são necessárias, porque o Chrome irá armazenar em texto simples todos os dados em seu histórico de navegação ou no disco rígido. O browser recupera a informação necessária para impedir que os usuários tenham que digitar novamente os mesmos dados em outros formulários.
Os pesquisadores da Identify Finder criaram um malware prova-de-conceito que pode coletar esses dados e enviá-los a terceiros. A empresa de segurança afirma que o Google poderia tornar esse processo mais difícil para crackers, fazendo com que o navegador criptografe os dados antes de armazená-los.
O Chrome permite que o sistema operacional criptografe os dados, mas somente se essa for a configuração tenha configurado. Com o Windows, a Microsoft oferece criptografia total de disco por meio da ferramenta BitLocker.
"Seria mais difícil de conseguir os dados (se criptografados)", disse Aaron Titus, chefe do departamento de privacidade da Identity Finder.
O Google disse que o fornecedor em segurança está fazendo tempestade em copo d'água, porque o Chrome dá ao usuário o controle total sobre como os dados são armazenados.
"O Chrome solicita permissão antes de armazenar dados sensíveis como detalhes de cartão de crédito, e você n"ao precisa salvar nada se não quiser", disse a gigante das buscas em um comunicado enviado à CSOonline. "Além do mais, os dados armazenados localmente pelo Chrome serão criptografados se suportado pelo sistema operacional subjacente".
Melhorias em segurança a caminho
A Identity Finder é uma empresa especializada em software que encontra informações sensíveis em PCs, então não é surpresa que ela recomende um melhor gerenciamento de dados. Por exemplo, desenvolvedores de browsers poderiam identificar quando alguém está digitando o número de um cartão de crédito e não armazenar esse dado.
"O Chrome, e provavelmente outros navegadores e programas em geral, precisam implantar práticas de gerenciamento de dados confidenciais", disse Titus.
Outros especialistas não consideram o armazenamento de dados pessoais do Chrome um problema sério.
"Acredito que faça sentido armazenar as informações de histórico da web em um formato criptografado para evitar um problema com vazamento de informações, mas isso não é uma questão crítica", disse Wolfgang Kandek, chefe do departamento de tecnologia da Qualys.
Malwares que são escritos para roubar informações de PCs procuram em lugares muito além do registro de histórico de navegação, disse Kandek. Por exemplo, o software malicioso poderia interceptar teclas para roubar credenciais usadas em sites e coletar dados de lojas desprotegidas.
As precauções extras são necessárias quando a pessoa vende ou doa uma máquina antiga. "Se o seu disco rígido for vendido em algum lugar tipo no eBay, e não foi propriamente limpo, ele está claramente em risco", disse Paul Henry, especialista em computação forense da Lumension.
Para evitar ter dados sensíveis acessados, os vendedores precisam reformatar seus HDs antes de entregar o sistema a um comprador, disse Kender.
Mas, se o usuário do PC for experiente o suficiente para não salvar credenciais ou regularmente limpar o cache do browser, então o armazenamento de registros de navegação se tornam um não-problema, disse Henry.
(IDG NOW)