Cuidado com a nova vulnerabilidade no navegador Opera

De acordo com o The Hacker News , o problema está relacionado ao recurso My Flaw, integrado ao navegador, que faz parte da extensão Opera Touch Background e não foi removido. O My Flaw permite que os usuários façam anotações e compartilhem arquivos entre navegadores de desktop e dispositivos móveis.

Esse é um recurso conhecido, já que os desenvolvedores de software modernos geralmente fornecem ferramentas para trocar dados entre computadores e dispositivos móveis rapidamente, mas no caso do Opera, isso tem um custo em termos de segurança.

O Guardio Labs afirma que a interface do My Flaw funciona como um chat para compartilhamento de arquivos, oferecendo uma função "Abrir" para qualquer mensagem com anexo, o que significa que os arquivos podem ser executados diretamente da interface web. Isso resulta em um contexto web que pode interagir com APIs do sistema para executar arquivos do sistema de arquivos fora do navegador, sem sandbox ou restrições.

Além disso, sites e extensões podem ser conectados ao My Flaw. Isso significa que um invasor pode criar uma extensão maliciosa que se passa pelo dispositivo móvel ao qual o computador da vítima está conectado. Ele pode então usar JavaScript para entregar um arquivo malicioso que seria executado quando alguém clicasse em qualquer lugar da tela.

Os desenvolvedores do Opera foram notificados sobre a vulnerabilidade no My Flaw em 17 de novembro do ano passado e a vulnerabilidade foi corrigida em 22 de novembro.