Plugins são ‘calcanhar de Aquiles’ de navegadores web

Diz o mito grego que Aquiles era invulnerável em todo seu corpo, exceto pelo seu calcanhar. Quando menino, ele recebeu um banho no Rio Estige, o rio da imortalidade, mas foi segurado pelo seu pé e, por isso, as águas ali não tocaram, deixando o local vulnerável.

O mito reflete uma situação real. Depois de tantos problemas e vulnerabilidades, as equipes de desenvolvimento dos navegadores web têm tomado um cuidado especial com a segurança do navegador. Recursos como o Modo Protegido do Internet Explorer foram inventados. No entanto, uma parte disso tudo está fora do controle dos criadores do navegador: os plugins.

Plugins e extensões são programas executados pelo navegador, mas que foram desenvolvidos por outras empresas com fins específicos. E, assim como o calcanhar de Aquiles não foi banhado no rio como o resto do corpo do herói, os plugins não têm recebido o mesmo cuidado que o código principal dos navegadores. Para piorar a situação, plugins são executados em todos os navegadores, ou seja, um ataque em um plugin consegue atacar o internauta independentemente do navegador que ele usa.

É por isso que plugins já são os alvos preferidos de vários criminosos virtuais – e a coluna de hoje é sobre esse assunto.

O problema do Java

Sem explorar nenhuma vulnerabilidade, applets Java
burlam caixas de download padrão dos navegadores
web.

É bem verdade que os navegadores estão ficando cada vez mais seguros. O Internet Explorer 6, por exemplo, é basicamente uma peneira que só sobrevive por dois motivos. Primeiro: muitas empresas têm sites internos que foram criados para funcionar no IE6 e cujo custo de adaptação para novas versões do navegador é muito alto. Segundo: usuários de Windows pirata encontram dificuldade para instalar as versões mais novas. A realidade do Internet Explorer 8 é bem diferente.

Mas uma das primeiras falhas largamente exploradas na web foi uma brecha no extinto Java da Microsoft, que foi incluído com algumas versões do Windows. Para os usuários, não fazia diferença se a falha era no navegador ou no plugin do Java, porque os vírus podiam infectar o sistema de qualquer jeito. Ainda hoje, a realidade é a mesma.

Mais tarde, a Microsoft foi proibida de distribuir o Java por questões legais. Mas isso não quer dizer que os problemas pararam. O Java da Sun (hoje pertencente à Oracle) sofre de vários problemas de segurança. Sites famosos no Brasil foram invadidos e brechas bem recentes no Java foram exploradas nos visitantes legítimos do site.

Mesmo sem explorar nenhuma falha no Java, criminosos virtuais fazem uso do processo conhecido como “elevação de applet Java”, que permite executar um pequeno programa a partir de um site com um único clique. Os navegadores atuais sabem dos problemas com downloads de programas e exigem que o usuário confirme, depois de uma série de avisos, que ele quer mesmo baixar e executar um software. Fazendo uso do Java, os criminosos conseguem burlar toda essa proteção, inutilizando os esforços de quem faz os navegadores.
O Java já teve brechas um tanto ridículas, como não eliminar a versão antiga do PC após uma atualização. Além de tomar espaço em disco, esse comportamento permitia que criminosos configurassem as páginas maliciosas para solicitar uma versão específica do Java, atacando mesmo aqueles que tinham o plugin atualizado, mas que não tinham expressamente desinstalado a versão anterior.

O problema do Flash

Em uma carta publicada em abril pela Apple, Steve Jobs explicou por qual motivo o Flash não será incluído no iPhone. Entre as muitas razões citadas, o diretor-executivo da Apple não esqueceu a segurança. Segundo ele, o Flash não é seguro o suficiente para uma plataforma móvel. Essa afirmação é pertinente.

Jobs está certo. No início de 2009, quase metade dos sites maliciosos (40%) tentava explorar alguma falha no Flash, segundo um relatório da Scansafe. Anúncios maliciosos usam o Flash, que possui uma linguagem de programação chamada ActionScript, para controlar quando o conteúdo malicioso será distribuído, passando por filtros de agências de publicidade.

Além de possuir várias falhas, o Flash tem um mecanismo de atualização automática ruim. Ele não verifica a existência de atualizações tão frequentemente quanto deveria, e o aviso de atualização não chama a atenção para o problema.

Essa situação pode ser contrastada com o Chrome. O Chrome, desenvolvido pelo Google, se atualiza sem questionar o usuário. Quando o navegador for fechado e aberto novamente, lá estará a versão nova – e mais segura. Para conseguir isso, o Chrome se instala como um aplicativo de usuário. É uma abordagem diferente e permite que mesmo um usuário sem privilégios administrativos atualize o software automaticamente.

O problema do Reader

No Firefox é fácil impedir que PDFs sejam abertos
automaticamente.

No final de 2009, o número de sites maliciosos tentando explorar uma falha no Flash caiu para 18%. Isso porque o número de sites tentando explorar uma falha no Reader, o leitor de documentos PDF da Adobe, subiu para 80%.

Quando um documento PDF é aberto pelo navegador, o Reader automaticamente processa o arquivo. Na maioria dos casos, nem uma confirmação de download é exibida. Uma vez descoberta uma falha no Reader, basta criar o PDF malicioso e criar uma página que faça um redirecionamento automático ao PDF.

Depois de ser duramente criticada, a Adobe quer melhorar a segurança do Reader. Mesmo assim, por enquanto, o Reader não é só o plugin mais atacado na internet – é também o programa preferido para invasões “direcionadas” em grandes empresas.

Número de sites explorando brechas no Reader cresceu em 2009

O problema multimídia

O Flash é problemático, como disse o diretor-executivo da Apple, mas Steve Jobs realmente precisa cuidar do seu quintal. Além dos problemas no navegador web do iPhone, tem ainda o QuickTime, reprodutor de áudio e vídeo da Apple, que também tem falhas de sobra e é executado como plugin.

O Windows Media Player da Microsoft também teve sua parcela de problemas. E não há muito que fazer a respeito de um software padrão do sistema operacional além de esperar pela atualização.

A responsabilidade dos navegadores

Só a Mozilla disponibiliza uma maneira fácil de
verificar atualizações para todos os plugins.

Os desenvolvedores dos navegadores não podem se envolver diretamente no conserto dos plugins. Mas o que se vê, por outro lado, é uma escassez de opções para gerenciar plugins – essas, sim, de responsabilidade de quem faz o navegador.

Na semana passada, a página de checagem de plugins da Mozilla passou a ter suporte para outros navegadores; em outras palavras, a Mozilla está prestando um serviço a seus concorrentes. A única exceção é o Internet Explorer, cuja estrutura dificulta esse tipo de verificação geral. Confira a página.

O Firefox também é o único navegador que tem uma interface fácil para desinstalar plugins e configurar conteúdos. No Firefox, por exemplo, é possível facilmente fazer com que uma caixa de download de PDFs seja exibida antes de o Reader ser acionado automaticamente, como acontece em outros navegadores.

O Plugin Check faz parte de uma iniciativa bem mais abrangente da Mozilla. Além de atualizar automaticamente plugins, a Mozilla desde já tem a capacidade de bloquear plugins inseguros, protegendo os usuários de forma temporária ou permanente até que uma correção seja disponibilizada.

Quem sabe outros fabricantes de navegadores comecem a perceber que plugins cada vez mais tem sido a porta de entrada de vírus nos PCs dos internautas e adicionem recursos semelhantes para que seja fácil gerenciar e atualizar plugins como a Mozilla tem feito.

Até lá, é cada um por si. Mantenha os plugins atualizados. A página da Mozilla e o Personal Software Inspector da Secunia podem ajudá-lo com isso. Toda corrente só é tão forte quanto o elo mais fraco. Hoje, nos navegadores, este elo é composto pelos plugins.

A coluna Segurança para o PC de hoje fica por aqui. Volto na quarta-feira (19) com o pacotão de segurança. Se você tem alguma dúvida, crítica ou sugestão, escreva na seção de comentários. Todos os comentários são lidos. Até a próxima!

Via G1>Tecnologia - *Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca