Veneno de rato

Um simples passar de mouse sobre link foi o suficiente para fazer vítimas no Twitter

PUBLICIDADE

Foto do author Redação
Por Redação
Atualização:

Armadilha. Agora até passar o mouse sobre link é perigoso (foto: Michel Filion/Flickr)

PUBLICIDADE

Até os mais novatos da internet começam sua vida digital espertos para algumas ameaças, como o perigo de responder a e-mails de remetentes falsos (golpe conhecido como “phishing”) ou clicar em links de origem desconhecida. Mas o que fazer quando um simples esbarrão no mouse pode tirar de v0cê o controle sobre sua conta em redes sociais?

O golpe sofrido pelo Twitter na última semana levantou questionamentos sobre a eficácia do serviço em se tornar uma das formas mais populares de comunicação na web. Dá para confiar em uma rede social onde um link pode fazer sua conta falar sozinha? Calma, a ameaça é um pouco menor do que parece.

O Twitter foi vítima de uma de suas principais fun cionalidades: o uso da @ para transformar um nome de usuário em link. O pequeno trecho de código necessário para tornar clicáveis os nomes dos seus amigos e seguidores também fez possível a inserção de um script malicioso em links específicos, e em poucos minutos, centenas de tweets começaram se reproduzir em progressão geométrica pelo site.

A nova forma de contaminação explora vulnerabilidade em Cross-site Scripting (XSS), com o código malicioso se posicionando junto à função “onMouseOver” – que serve para iniciar ações relacionadas ao movimento do mouse sobre um link ou elemento gráfico da página.

A repercussão gerada pelo vírus pode chamar a atenção de hackers para problemas similares em outros sites. Mas, por sua fácil resolução, o problema não deve se repetir por muito tempo – a maioria dos sites de grande tráfego esconde os links postados em uma camada inferior do código, eliminando as chances de que eles sofram interferência externa ou que executem funções indesejadas. É o que acontece com quase todos os aplicativos de acesso externo ao Twitter, como Brizzly, Hootsuite e TweetDeck.

Deu bobeira, Twitter…

Publicidade

  • SOL NASCENTE – No dia 14 de agosto o hacker japonês Masato Kinugawa descobriu uma vulnerabilidade em Cross-site Scripting (XSS) no Twitter e comunicou o problema no próprio site.

  • CARA NOVA -Um mês após a descoberta do problema, na terça, 14, o Twitter lançou um redesign para as páginas individuais, acrescentando um novo modo de leitura.

  • ARCO-ÍRIS -Masato Kinugawa reencontra a vulnerabilidade no novo layout e demonstra o bug de maneira prática ao criar uma conta (@rainbowtwtr) que muda as cores dos posts de outros usuários, projetando um arco-íris de tweets na tela. A conta é suspensa pelo Twitter.

  • ON MOUSE OVER -O problema explora falhas na função “onMouseOver”, permitindo que scripts sejam executados ao passar do mouse sobre um link.

  • FUSO -A intervenção de Masato aconteceu à tarde no Japão, madrugada nos EUA. Em poucos minutos foram quase 5 mil retweets.

  • RATOEIRA -Exposto o problema, hackers começaram a replicar o código malicioso em links que levavam o usuário para sites de pornografia e spam. Segundo o jornal britânico Guardian, algumas mutações atacaram até a página principal do Twitter. O problema foi resolvido na manhã de terça, 21.

—- Leia mais:Caçadores de vírusLink no papel – 27/09/2010

Publicidade

Tudo Sobre
Comentários

Os comentários são exclusivos para assinantes do Estadão.