Aproveitando o famoso dia de 1º de Abril, quando muitas empresas fazem brincadeiras com o “Dia da Mentira”, o Google lançou uma versão espelhada do site de buscas. O elgooG, que podia ser acessado pelo endereço “com.google”, permitia que os usuários fizessem normalmente suas buscas, porém, com todas as informações invertidas.

No entanto, este brincadeira aparentemente inocente criou uma falha de segurança grave no buscador. Segundo a equipe do NetCraft, a brincadeira necessitou que o Google desabilitasse um header via código frame. Por conta disso, o site ficou vulnerável por várias horas permitindo que maliciosos executassem uma técnica chamada de “clickjack”, que permite que o hacker modifique remotamente as preferências do usuário, inclusive desabilitando os filtros do SafeSearch de um usuário. Na prática, isso significa que crianças, por exemplo, ficassem expostas à pornografia ou outros usuários fossem enganados a visitar sites maliciosos e de baixa segurança.

O X-Frame-Options é um header que impede que hackers anexem a home do Google em seus próprios sites. A desabilitação do header gerou uma brecha de segurança bem séria, segundo revelou um teste da NetCraft. Segundo a companhia inglesa, era possível que um site de terceiro exibisse configurações do Google Search em suas páginas. O hacker só precisava mascarar o conteúdo para poder conseguir se aproveitar de várias vítimas sem grandes dificuldades.

Apesar do Google ter sido notificado do problema e dito a NetCraft que a questão foi resolvida, ainda não se sabe realmente qual foi o tamanho do prejuízo que os usuários tiveram por estarem suscetíveis a esta falha.

Com informações de NetCraft e Canaltech.