Imagine se alguém pudesse travar a maioria dos navegadores de internet em menos de 1 minuto – especialistas em cibersegurança descobriram que isso já é possível. A falha, identificada como Brash, explora uma vulnerabilidade na arquitetura do Blink, que faz a renderização dos sites, e afeta todos os mais de 3 bilhões de usuários de navegadores Chromium, como o Google Chrome, Edge, Brave, Opera, Vivaldi, Arc Browser e até o recém-lançado Atlas da OpenAI.
De acordo com Jose Pino, pesquisador que descobriu a falha, o problema está concentrado numa API JavaScript básica, usada por desenvolvedores para nomear sites – o document.title.
Como funciona a vulnerabilidade
Esse recurso é capaz de mudar o texto que aparece na aba do navegador, mas pra fazer isso acontecer, existem muitos passos executados no Blink, o mecanismo de renderização que transforma o código em site.
Basicamente, toda vez que alguém altera o document.title, o Blink tem que criar uma mutação do DOM, que funciona como uma árvore de elementos; essa mutação entra numa fila para ser processada e então o navegador aplica aquela alteração.
Até aí tudo normal, o problema é que o document.title não tem nenhuma limitação, então os cibercriminosos podem fazer até 24 milhões de alterações por segundo e travar completamente o navegador entre 15 e 60 segundos. Nesse meio tempo, além de colapsar o navegador, esse bug pode até mesmo requerer o encerramento forçado das ferramentas.
Um recurso crítico que amplifica o perigo do Brash é sua capacidade de ser programado para executar em momentos específicos. Um atacante pode injetar o código com um gatilho temporal, permanecendo dormente até um momento exato predeterminado. Atacantes podem programar isso dias antes e acionar durante janelas críticas: abertura do mercado de ações, troca de plantão em hospitais, eventos de e-commerce como Black Friday, ou transmissões ao vivo.
Navegadores como o Safari e FireFox não são afetados por essa brecha porque usam outros motores de renderização.
Essa falha acontece porque o document.title foi projetado nos primórdios da internet, quando sites eram estáticos e simples, quase não se usava JavaScript e, principalmente, ninguém imaginava que o cibercirme evoluiria para explorar vulnerabilidades como essa. O Brash não usa nenhuma técnica sofisticada de hacking, mas ajuda a lembrar a importância de considerar a cibersegurança na hora de criar infraestruturas.
Outro grande problema nessa brincadeira é que Pino denunciou a falha pro Google em 28 de agosto, e até agora a big tech não só deixou o pesquisador no vácuo, como ainda não liberou nenhum patch que corrija essa vulnerabilidade.
Para acompanhar mais casos como esse, siga o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de tecnologia e segurança.