Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários ou envie um e-mail para [email protected]. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.

O Google enviou um alerta para desenvolvedores de extensões para o Chrome após uma onda de e-mails falsos ser enviada aos programadores. O objetivo dos criminosos é tomar o controle de extensões que já possuem uma grande base de utilizadores e injetar nelas códigos indesejados, aproveitando o recurso de atualização automática para distribuir o novo código a todos os usuários.

Não está totalmente claro o que os invasores pretendem. Mas extensões podem alterar a experiência da navegação e permitir o roubo de diversos dados, inclusive senhas usadas na web. Ao menos uma extensão foi adulterada para exibir anúncios publicitários.

Entre as extensões comprometidas estão a Infinity New Tab, que tem 450 mil usuários, a Copyfish, com 35 mil, a Web Developer, que tem um milhão, e a Live HTTP Readers, que foi bloqueada pelo Google e ainda não voltou para a Chrome Web Store.

Os invasores enviam um e-mail falso para os desenvolvedores das extensões. A mensagem tenta se passar por um comunicado oficial do Google e possui links que, se clicados, levam a páginas falsas de login. Caso o desenvolvedor forneça sua senha na página falsa, ela é enviada aos invasores, que podem então acessar a conta do Google.

O e-mail de alerta do Google enviado aos desenvolvedores, divulgado pelo site "Bleeping Computer", sugere que os programadores ativem a autenticação em duas etapas para suas contas no Google, além de cautela na abertura dos links. As mensagens fraudulentas também podem ser encaminhadas a um e-mail especial de suporte do próprio Google.

Antes de recorrerem a e-mails falsos para atacar os desenvolvedores, golpistas fizeram ofertas comerciais e compraram as extensões diretamente dos seus criadores.

Ataques a programadores
Criminosos virtuais estão se vendo obrigados a lidar com uma realidade bastante difícil quando tentam atacar usuários. Diversos avanços na segurança de software e sistema têm impedido o funcionamento de alguns truques antigos.

Em meados da década de 2000, quando o navegador web mais usado era o Internet Explorer, da Microsoft, a tática mais comum era instalar códigos maliciosos a partir de páginas maliciosas usando falhas no navegador. Com a adoção do Firefox e do Chrome, que são mais seguros, os golpistas passaram a depender da instalação de extensões nos navegadores para atingir os internautas. Mas o Google e a Mozilla reagiram, bloqueando a instalação de extensões a partir de fontes não oficiais.

Curiosamente, um dos maiores avanços na segurança tem sido justamente a adoção de mecanismos ágeis de atualização automática. Mas, nesses ataques aos desenvolvedores, a atualização automática passa a contribuir com os ataques, pelo menos no sentido de vitimar mais pessoas em menos tempo.

O recurso de atualização automática também foi central no caso do vírus NotPetya, que atacou a Ucrânia por meio da atualização automática do software M.E. Doc. Um escritório de advogados na Ucrânia está convocando as vítimas do vírus para lançar um processo contra a empresa que desenvolve o software.

Um grande risco é que esse tipo de ataque possa atingir aplicativos de celulares. Desenvolvedores chineses de software para iPhone já sofreram com esse problema em 2015, no caso do "Xcode Ghost" ("Fantasma do XCode"). Na época, uma fonte alternativa para o download do Xcode, um programa oficial da Apple, havia contaminado o software para injetar códigos indesejados em apps de celular.

Os ataques contra os desenvolvedores e mecanismos de atualização automática, porém, são muito mais diretos que o caso do Xcode. De todo modo, programadores e empresas de software devem - ou deveriam estar - muito mais preparadas para lidar com ataques do que outras pessoas. A tendência, porém, é que ataques futuros revelem mais despreparo entre aqueles que deveriam ter mais conhecimento.


Siga a coluna no Twitter em @g1seguranca.