Ter o computador infectado não é só coisa de noob que sai clicando em tudo o que vê pela frente: às vezes até um pessoal mais entendido pode passar por apuros deste gênero, especialmente quando não se pode confiar nas ferramentas utilizadas.
Um dos mais problemáticos plugins para navegadores de todos os tempos é o Java. Sempre aparecem novas vulnerabilidades, muitas delas que ficam aguardando a correção por semanas. As versões recentes dos navegadores geralmente não o ativam por padrão, apenas quando necessário, solicitando antes a permissão do usuário. Ao visitar algum site que não precisa do Java, basta negar o acesso caso apareça a mensagem do navegador. Nem sempre foi assim: o Java já foi responsável por diversos tipos de invasões e danos, possibilitando uma infecção simplesmente por visitar uma página com um conteúdo malicioso preparado para execução no plugin. Sem aviso nenhum na tela.
Até mesmo sistemas menos explorados pelos criadores de pragas virtuais sofrem com o problema, como o OS X. Além de sites maliciosos criados especificamente para roubar dados, há outro grave problema: quando alguns sites sérios são invadidos e passam a distribuir malwares, como ocorreu com o site do MySQL (curiosamente, da própria Oracle). Muitas das invasões só são possíveis por conta do uso de plugins mal feitos e inseguros nos clientes, visto que não dá para fazer muita coisa com HTML e Javascript.
A moda da vez foi ver grandes empresas assumindo que suas máquinas foram infectadas. Ninguém menor que Apple e Facebook.
No final da semana passada uma outra gigante da tecnologia assumiu publicamente o mesmo problema: agora foi a vez da Microsoft.
Como era de se esperar, elas tranquilizam os usuários informando que aparentemente nada foi roubado nem comprometido, mas a “invasão” ocorreu: um software obteve acesso ao que não deveria durante a navegação na web. Embora não tenha dado o nome do software que possibilitou a brecha, tudo leva a crer que é o mesmo problemático e mal feito Java.
Aparentemente o site que explorou a vulnerabilidade no Java foi o iPhoneDevSDK, uma página voltada a desenvolvedores de apps para iOS – provavelmente acessada por funcionários da Apple, Facebook e Microsoft, entre tantos outros desenvolvedores de aplicativos.
Fica a lição: use o plugin do Java no navegador apenas se for realmente necessário. Se possível, nem o mantenha instalado. Infelizmente muitos bancos ainda exigem o plugin dele para oferecer maior “segurança”, o que soa até contraditório, dado o histórico do Java. E para piorar ainda mais, o instalador vem com coisas indesejadas, como a barra daquele buscador Ask. E a opção precisa ser desmarcada em toda atualização do Java, pois as atualizações rodam o instalador completo.
É triste ver que um ambiente de execução multiplataforma tão promissor, existente há muitos anos, ainda não conseguiu oferecer uma implementação eficiente e segura para rodar conteúdo dentro do navegador. Com o HTML 5 e os webapps “multiplataforma” é questão de tempo para que os plugins sejam esquecidos por completo. Na área mobile pelo menos isso já é realidade.
Veja também
Sobre o Autor
Deixe seu comentário