Hacker desenvolve método que descobre furtivamente a posição GPS de computadores
Página 1 de 1
08012010
Hacker desenvolve método que descobre furtivamente a posição GPS de computadores
De: Matheus Gonçalves/Geek
Samy Kamkar, um especialista que ficou famoso por ter criado um worm em 2005 que adicionou mais de um milhão de amigos para a sua conta no MySpace, publicou nesta semana a prova do conceito de obtenção precisa da localização geográfica de um computador por meio de informações do seu roteador.
Roteador fornecido pela Verizon a seus clientes de internet FiOS. (Crédito: Verizon/Reprodução)
Roteador fornecido pela Verizon a seus clientes de internet FiOS. (Crédito: Verizon/Reprodução)
De acordo com o jornal The Register, Kamkar postou em seu perfil do Twitter informações sobre o conceito, que utiliza os recursos atuais que possibilitam aos usuários acesso a um conteúdo personalizado automaticamente, compartilhando sua localização aos sites que está visitando.
A vulnerabilidade explora a conhecida técnica XSS, ou cross site scripting, em roteadores. A técnica XSS permite que um computador ou um site web executem porções de código vindas de outros computadores ou sites como se fossem locais. Por enquanto a prova do conceito só foi conseguida em um modelo da Verizon, todavia Kamkar afirmou que com um pouco mais de trabalho ele pode criar um exploit capaz de se aproveitar de falhas semelhantes em roteadores feitos por outras empresas.
“É realmente assustador quão preciso ele é”, disse Kamkar. “Descobri que, com um endereço MAC único, sempre caio no local exato, nos testes que fiz”.
O método se dá da seguinte forma: Quando um usuário que esteja acessando a internet por meio de um dos roteadores vulneráveis clica em um link malicioso preparado para o ataque, um script de XSS escondido na página obtem o endereço físico do computador (endereço MAC), por meio de um código em AJAX.
Este endereço é enviado ao hacker que, a partir de então, utiliza a ferramenta Google Location Services, um recurso que permite que websites possam se moldar ao usuário, de acordo com seu local de navegação.
Esse processo pode complementar um ataque separado, também concebido por Kamkar, com o intuito de acessar remotamente roteadores do modelo Westell ultraline Series3 que a Verizon oferece aos seus clientes.
Este ataque dá ao hacker controle administrativo sobre os dispositivos de clientes que cliquem no link malicioso enquanto estiverem conectados ao painel administrativo do roteador.
Jim Smith, porta-voz da Verizon, tentou minimizar a importância destas investidas contra os roteadores Westell.
“Nossos clientes são aconselhados a seguir as boas práticas de navegação e sempre efetuar o logoff de suas sessões, ao utilizar a internet por meio deste equipamento” – diz Smith.
“Não se trata de uma questão de tecnologia, mas de melhores práticas que deveriam ser adotadas pelos clientes” – defendeu.
Os resultados da prova feita por Kamkar e o passo-a-passo para o teste podem ser vistos a partir do link samy.pl/mapxss/.
Samy Kamkar, um especialista que ficou famoso por ter criado um worm em 2005 que adicionou mais de um milhão de amigos para a sua conta no MySpace, publicou nesta semana a prova do conceito de obtenção precisa da localização geográfica de um computador por meio de informações do seu roteador.
Roteador fornecido pela Verizon a seus clientes de internet FiOS. (Crédito: Verizon/Reprodução)
Roteador fornecido pela Verizon a seus clientes de internet FiOS. (Crédito: Verizon/Reprodução)
De acordo com o jornal The Register, Kamkar postou em seu perfil do Twitter informações sobre o conceito, que utiliza os recursos atuais que possibilitam aos usuários acesso a um conteúdo personalizado automaticamente, compartilhando sua localização aos sites que está visitando.
A vulnerabilidade explora a conhecida técnica XSS, ou cross site scripting, em roteadores. A técnica XSS permite que um computador ou um site web executem porções de código vindas de outros computadores ou sites como se fossem locais. Por enquanto a prova do conceito só foi conseguida em um modelo da Verizon, todavia Kamkar afirmou que com um pouco mais de trabalho ele pode criar um exploit capaz de se aproveitar de falhas semelhantes em roteadores feitos por outras empresas.
“É realmente assustador quão preciso ele é”, disse Kamkar. “Descobri que, com um endereço MAC único, sempre caio no local exato, nos testes que fiz”.
O método se dá da seguinte forma: Quando um usuário que esteja acessando a internet por meio de um dos roteadores vulneráveis clica em um link malicioso preparado para o ataque, um script de XSS escondido na página obtem o endereço físico do computador (endereço MAC), por meio de um código em AJAX.
Este endereço é enviado ao hacker que, a partir de então, utiliza a ferramenta Google Location Services, um recurso que permite que websites possam se moldar ao usuário, de acordo com seu local de navegação.
Esse processo pode complementar um ataque separado, também concebido por Kamkar, com o intuito de acessar remotamente roteadores do modelo Westell ultraline Series3 que a Verizon oferece aos seus clientes.
Este ataque dá ao hacker controle administrativo sobre os dispositivos de clientes que cliquem no link malicioso enquanto estiverem conectados ao painel administrativo do roteador.
Jim Smith, porta-voz da Verizon, tentou minimizar a importância destas investidas contra os roteadores Westell.
“Nossos clientes são aconselhados a seguir as boas práticas de navegação e sempre efetuar o logoff de suas sessões, ao utilizar a internet por meio deste equipamento” – diz Smith.
“Não se trata de uma questão de tecnologia, mas de melhores práticas que deveriam ser adotadas pelos clientes” – defendeu.
Os resultados da prova feita por Kamkar e o passo-a-passo para o teste podem ser vistos a partir do link samy.pl/mapxss/.
Hacker desenvolve método que descobre furtivamente a posição GPS de computadores :: Comentários
Nenhum comentário
Permissões neste sub-fórum
Não podes responder a tópicos
Dom Jan 01, 2012 4:34 pm por markussanita
» Novo Fórum *-*
Qui Ago 25, 2011 8:15 am por fake-0
» USB 3.0 é coisa do passado: PCI Express transfere até 32 Gbps
Qui Jun 23, 2011 2:30 pm por Jesiel Borges
» Idiota tenta se amostrar e se fode
Dom Jun 19, 2011 4:51 pm por lipep01
» Kinect (análise / review)
Qui Fev 17, 2011 10:07 pm por Jefferson
» Aviso windows pirata
Sex Fev 04, 2011 12:22 am por lipep01
» Nexus S is here, and it's awesome!
Qui Jan 27, 2011 9:40 am por Jesiel Borges
» Americano cria internet sem fio transmitida pela iluminação
Seg Jan 10, 2011 8:53 pm por Jesiel Borges
» [FIXO] Imagens e Zueiras
Sáb Jan 08, 2011 12:35 am por HatB