Foi publicado no último domingo (26/11) um código que tira proveito de uma brecha na rede social Orkut e permite que indivíduos maliciosos roubem comunidades caso consigam convencer o dono da comunidade a clicar em um link. O link, quando clicado, executa no navegador um código que automaticamente transfere as comunidades.

O link malicioso é longo e “estranho”, porém sites de redirecionamento estão sendo usados para esconder seu real conteúdo. Não é necessário que o usuário faça qualquer download: apenas um simples clique já é o suficiente para que as comunidades sejam transferidas para quem lhe enviou o link.

A vulnerabilidade está presente no componente do Orkut referente ao processamento dos recados (scraps). É possível fazer com que sejam inseridos códigos na página por meio de um link. A falha permite a execução de qualquer Javascript no contexto do site do Orkut, o que possibilita o roubo das comunidades e também de cookies. Falhas desse tipo recebem o nome de XSS, ou Cross-site Scripting.

De acordo com comentários no código, os cookies só podem ser roubados de usuários que não utilizam o Internet Explorer. Isso significa que usuários que não utilizam IE e que clicarem no link também enviarão dados que possibilitam que o invasor acesse o site do Orkut com a sua conta.

O Google já foi avisado sobre a falha e a mesma deve ser corrigida em breve, porém a Linha Defensiva tem confirmação de que os links maliciosos funcionavam com sucesso até pelo menos o início da tarde de hoje (28/11).

Em uma notícia relacionada, o Orkut deu à Polícia Federal um acesso especial que permite que policiais fechem comunidades sem precisar pedir ao Orkut.

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

15 Comments

  1. Rodrigo Lacerda 01/12/2006 às 05:54

    Só faltou citar os nomes das pessoas que descobriram a falha……

    Curtir

  2. Rodrigo Lacerda

    Citamos se da próxima vez, “seja lá quem foi que descobriu a falha”, avisar o Google antes de publicar a vulnerabilidade, assim protegendo os usuários do Orkut ao invés de causar problemas.

    É só eles fazerem algo sério. Mas não citamos nem respeitamos quem publica falhas sem um mínimo senso de responsabilidade.

    Curtir

  3. foi avisado o google sim

    Curtir

  4. imperador

    Avisar é o de menos; precisa esperar até ele corrigir antes de lançar detalhes/exploits a público. Só quando você tem as coisas vários meses na mão e eles ainda não fizeram nada é que vale publicar e ainda tem pessoas que dizem que não se deve publicar nunca antes da brecha ser corrigida.

    Curtir

  5. Altieres,
    me desculpe, mas isso foi comunicado sim..
    a falha foi descoberta 1 mês antes de ser publicada,
    foi comunicado a equipe do orkut sim, inclusive atravéz do Google Groups,
    mas não demos detalhes sobre a falha, queríamos ver qual seria a reação deles,
    e se iriam se mecher para procurar a falha, ou mesmo discutir isso no Groups.

    Foi sugerido que fosse criado um programa de incentivo às pessoas que gostam de buscar esse tipo de coisa
    e posteriormente reportar o problema,
    mas infelizmente fomos ignorados.

    Digo que pior seria se publicássemos junto o problema de captura de cookies do orkut.com no Internet Explorer,
    que infelizmente existe, mas não vejo motivos para reportar à equipe de suporte,
    eles não costumam nem agradecer quando isso é feito, e considero isso uma falta de respeito.
    Eles também já estão cientes da brecha que existe, mas não estão nem ai pra procurar saber onde é essa falha.

    Infelizmente as coisas no orkut só andam quando um fato como esse acontece.
    Sei que aparentemente pode parecer uma atitude infantil e precipitara, mas acredite, tivemos motivos para publicar.

    É meio ruim explicar toda a história em um comentário de um blog, e também não acho isso legal, fica um clima chato para os leitores.
    Venho aqui como o autor do exploit e divulgador da falha.
    Se você quiser me procurar pra saber como tudo aconteceu o meu e-mail você já tem.

    Obrigado.

    Curtir

  6. Rodrigo Lacerda

    Tem empresas que se importam com as falhas e outras não estão nem aí.

    Pesquisadores de segurança que divulgam suas falhas de forma responsável são raramente reconhecidos; no Google, sua página de segurança, lista algumas pessoas que contribuem e isso é tudo que elas ganham de crédito.

    Também não quero entrar em uma discussão aqui, mas acredito que existem meios de se fazer alguma forma de “pressão” sem divulgar a falha completamente.

    Curtir

  7. Bom, agora acho que a discussão entra mais para o lado do artigo postado.

    Essa página de segurança eu não conhecia, e não foi comentado sobre isso quando a questão foi levantada no Groups.

    Foi feito sim uma “pressão” no caso, foi reportado o problema,
    não falando onde era, mas sim falando apenas que o problema existia, apenas para ver se conseguíamos alguma resposta,
    fiz isso por conta própria, e fui ignorado.

    Então quando foi criado o tópico sobre o programa de incentivo, aproveitei para falar dessa falha novamente,
    e não apenas dela como também do problema de captura de cookies do orkut.com no Internet Explorer, que muitos acham que é impossível.

    Certamente o Google tem uma preocupação com os seus sistemas, mas com alguns sistemas comprados eles não tem a mesma preocupação, como é o caso do YouTube, que também possui uma falha de XSS ainda não corrigida.

    Oque não pode ser feito é ensinar pessoas altamente capacitadas a cobrir uma falha como essa,
    principalmente quando não se vê nenhum interesse dos mesmos em querer saber detalhes sobre o fato reportado.

    Não é a primeira falha como essa nesse site,
    participei da maioria dos casos, chegando a ser o “descobridor” de uma que ficou bastante conhecida,
    que não vem ao caso citar qual foi agora.

    Falhas como essas são bastante comuns no site,
    e ainda digo que há outro caso de XSS, mas esse caso é menos perigoso, e bastante difícil de ser explorado.
    Mas como sempre, o máximo que eu faço é tentar alertar sobre o problema,
    eu não vou sair enviando e-mails ao suporte indicando exatamente onde se encontram as falhas, pois isso cabe a eles procurarem,
    ou pelo menos ter a gentileza de mandar um simples e-mail agradecendo sem falar que já conhecia o problema.

    Então não vejo como fazer mais pressão do que isso que foi feito,
    e-mail enviado ao suporte, tópico criado no Groups respondido por alguem da equipe do site.
    Mais pressão que isso só se eu apontar exatamente onde está a falha,
    que até já fiz isso no primeiro XSS que descobri no orkut,
    reportei o problema por completo mas não obtive resposta,
    e pouco tempo depois a falha vazou e o orkut virou uma zona.

    Portanto esse tipo de atitude eu não tenho mais,
    nunca mais reportarei falhas completas, vou apenas alertar.

    Curtir

  8. Rodrigo Lacerda

    Aqui está a página de segurança do Google e o endereço de e-mail correto para se reportar falhas de segurança.

    http://www.google.com/corporate/security.html

    Creio que você deve informar o problema completo, inclusive “ensiná-los” a forma de explorar a brecha. É possível trabalhar muito mais rápido em cima de uma falha quando você sabe como explorá-la.

    Eles já sabem que existem algumas falhas no sistema, pois todo sistema tem, mas não sabem onde. É essa informação que é realmente necessária e valiosa para que eles consigam corrigir o problema.

    Se você não deu essa informação para eles, é possível que eles sequer tenham acreditado em você. É como ligar para o corpo de bombeiros, dizer que há um incêndio e não dizer onde. Nem sempre é fácil saber o local.

    Curtir

  9. Vou procurar ler depois aquela página, pois vou dormir agoa.

    Mas sobre o fato de “ensiná-los” como explorar a falha, como eu já falei antes,
    foi feito uma vez mas não foi dado a atenção devida,
    vou até citar agora qual foi a falha,
    foi o XSS que era inserido diretamente nos links que eram enviados por recados ou postados em comunidades.
    A falha foi descoberta dia 08/08/2006,
    reportada à equipe de suporte no dia 10/08/2006,
    e vazada em 13/08/2006.

    Você deve ter conhecido a falha, pois houve também um artigo no aqui no site sobre isso.
    E deve saber que aquela falha era considerada de alto risco,
    pois não dependia da ação do dono do perfil ao clicar em algum link,
    ele poderia ser vítima simplesmente navegando pelo orkut.

    Como nessa ocasião não houve sequer uma resposta,
    eu decidi que não faria mais isso,
    tudo bem, pode ser que eu esteja agindo de forma errada, mas não vejo motivos pra agir de outra forma quando não se tem atenção.

    Eu acho apenas que deveria ter um suporte especial na questão dos problemas de falha de segurança.
    Enquanto não houver isso, da minha parte não terão falhas reportadas por completo, e elas existem.

    Essa falha recente em especial, foi publicada por motivos que eu não quero citar aqui por envolver outras pessoas,
    mas acho que quando ela foi citada no Groups e houve uma resposta, teria que ter tido mais atenção, mas foi postado apenas um link(que todo mundo conhece) falando para usá-lo.

    Sei que não é fácil encontrar um problema, principalmente quando o sistema é grande.
    Mas enfim…. é isso.

    A conversa que acabou se tornando um “chat” está muito boa,
    mas agora eu preciso dormir.

    Abraços

    Curtir

  10. Areshandore 02/12/2006 às 03:04

    Acho que o Rodrigo deveria enviar o currículo dele pro Google. Se contratado iria receber uma boa remuneração.

    Curtir

  11. Que enrrolação…

    Esse Rodrigo escreve cada bíblia, pô!

    Só sei que ele mentiu em alguns pontos, pois eles sabiam da falha a mais de 1 mês, mas só reportaram ao Orkut um dia antes de publicarem para todos!!!!

    Tão fazendo mt caso só para citarem os nomes.

    Curtir

  12. Anônimo,
    você não sabe do que está falando,
    como eu disse, eu avisei que havia uma falha, mas não disse onde,
    pois eu não vou mais fazer isso.

    E está aqui a prova que eu avisei sobre isso no dia 21/11/2006

    http://groups.google.com/group/orkut-help-pt-profiles/browse_thread/thread/8edaadd0b0774dcf/1f74c18ef2973460?lnk=gst&q=&rnum=33#1f74c18ef2973460

    Curtir

  13. Tive 4 comunidades minhas roubadas, o que devo fazer para recuperalas??

    Curtir

  14. Mateus

    Tente falar com a equipe de suporte do Orkut. Se há algo pra se fazer, eles vão saber.

    Curtir

  15. Christianne Pires Green Short 17/12/2006 às 15:45

    Ei “cai” nesse link malicioso com o INTERNET EXPLORER.
    Tive minha comunidade roubada dia 11/12 e na noite do mesmo dia o orkut me devolveu.
    Mateus, vá na comunidade SUPER LIGA DOS MODERADORES, lá vc vai encontrar detalhadamente o q tem q fazer parar ter sua comunidade d volta.

    Curtir

Comentários encerrados.