Uma falha de segurança no Chrome tornou vulnerável os dados de mais de 2,5 bilhões de usuários pelo mundo. Segundo a empresa de segurança , o bug, que já foi corrigido, permitia o roubo de arquivos confidenciais — como carteiras de criptomoedas ou credenciais de acesso a serviços em nuvem.
A falha, apelidada também afetou outros navegadores baseados no Chromium, como Opera e Microsoft Edge. Ela foi descoberta após uma revisão de segurança na maneira como o navegador interage com o sistema de arquivos. Principalmente em como ele processa os “links simbólicos” – um tipo de arquivo que aponta para outro arquivo ou diretório.
Um link simbólico permite que o sistema operacional trate o arquivo ou diretório vinculado como se estivesse no local do link simbólico. Ele é útil para criar atalhos, redirecionar caminhos de arquivos ou organizar arquivos de maneira mais flexível.
A Imperva descobriu que os navegadores não estavam verificando corretamente se o link simbólico apontava para um local que não deveria ser acessível, o que abria uma brecha para o roubo de arquivos confidenciais.
Na prática, um hacker poderia criar um site falso que oferece um novo serviço de carteira criptográfica. O invasor poderia induzir o usuário a criar uma nova carteira e que ele fizesse o download de um arquivo compactado contendo um link simbólico para um arquivo ou pasta no computador que contém chaves de carteiras ou credenciais.
Geralmentea, crteiras criptográficas e outros serviços exigem que os usuários baixem chaves de “recuperação” para acessar suas contas. Essas chaves servem como backup caso o usuário perca o acesso à sua conta por qualquer motivo. Com isso, um hacker poderia contornar as restrições para operar arquivos não autorizados.
O navegador conta com medidas de segurança que pedem a confirmação do usuário se ele tentar fazer o upload de muitos arquivos de uma só vez. Porém, durante os testes, a empresa notou que isso não acontecia em arquivos ou pastas únicos, com os mesmos sendo tratados de maneira diferente, sem que o usuário fosse avisado.
O Google classificou o problema como gravidade média, liberando atualizações de segurança para as versões 107 e 108 do navegador. Esses patches foram disponibilizados a partir de outubro e novembro do ano passado, respectivamente.
Para quem ainda utiliza versões antigas do Chrome, a recomendação é que seja feita a atualização do navegador. Atualmente, a versão 109 do navegador do Google já está disponível para download.