{"id":11649,"date":"2019-04-16T21:59:42","date_gmt":"2019-04-17T00:59:42","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=11649"},"modified":"2020-05-20T17:01:04","modified_gmt":"2020-05-20T20:01:04","slug":"dangerous-plugins","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/dangerous-plugins\/11649\/","title":{"rendered":"O perigo dos plugins desenvolvidos por terceiros"},"content":{"rendered":"

Lojas online, portais de not\u00edcias e outros recursos geralmente s\u00e3o baseados em plataformas que fornecem aos desenvolvedores um conjunto de ferramentas predefinidas. Por exemplo, nosso blog foi constru\u00eddo nesses par\u00e2metros. As funcionalidades geralmente s\u00e3o disponibilizadas aos usu\u00e1rios por meio de plugins<\/em> que permitem adicion\u00e1-las conforme necess\u00e1rio. Por um lado, \u00e9 um sistema conveniente que otimiza o trabalho dos desenvolvedores por n\u00e3o precisarem produzir uma ferramenta ou c\u00f3digos espec\u00edficos para fun\u00e7\u00f5es semelhantes em cada projeto. No entanto, ao utilizar muitas aplica\u00e7\u00f5es criadas por terceiros em seu site, maiores as possibilidades de que algo d\u00ea errado.<\/p>\n

Os problemas com os plugins<\/strong><\/h3>\n

Plugins<\/em> s\u00e3o pequenos m\u00f3dulos de softwares que adicionam ou melhoraram as funcionalidades de sites. Alguns plugins<\/em> funcionam como widget de m\u00eddias sociais, outros compilam estat\u00edsticas, estudos e diversos conte\u00fados.<\/p>\n

Se voc\u00ea conectar um plugin<\/em> de busca em seu site, ele ser\u00e1 automaticamente executado, e, s\u00f3 ser\u00e1 lembrado dele se ocorrer um problema de opera\u00e7\u00e3o \u2013 quer dizer, se algu\u00e9m relatar o erro. Aqui est\u00e1 um dos perigos destes m\u00f3dulos: se o desenvolvedor do plugin<\/em> o abandona ou o vende, provavelmente, n\u00e3o haver\u00e1 notifica\u00e7\u00e3o de nada.<\/p>\n

Vulnerabilidades em plugins<\/strong><\/h3>\n

Plugins<\/em> que n\u00e3o foram atualizados h\u00e1 anos s\u00e3o mais propensos a conter vulnerabilidades n\u00e3o corrigidas que podem beneficiar os cibercriminosos a assumir o controle de um site, baixar um keylogger<\/a>, um minerador de criptomoedas<\/a> ou em qualquer outra armadilha com fins escusos.<\/p>\n

Mesmo quando as atualiza\u00e7\u00f5es est\u00e3o dispon\u00edveis, muitos propriet\u00e1rios de sites as ignoram, por isso, m\u00f3dulos com problemas de seguran\u00e7a \u200bpermanecem ativos por anos, mesmo ap\u00f3s a retirada do suporte.<\/p>\n

\u00c0s vezes, criadores de plugins desenvolvem patches para corrigir vulnerabilidades, mas, por qualquer motivo, mas n\u00e3o s\u00e3o instalados automaticamente. Por exemplo, em alguns casos, os desenvolvedores dos m\u00f3dulos se esquecem de mudar o n\u00famero da vers\u00e3o na atualiza\u00e7\u00e3o, consequentemente, os usu\u00e1rios que confiaram em atualiza\u00e7\u00e3o autom\u00e1ticas ficam com plugins desatualizados por n\u00e3o ter feito verifica\u00e7\u00f5es manuais.<\/p>\n

Como substituir os plugins<\/strong><\/h3>\n

Algumas plataformas de gerenciamento de conte\u00fado de sites bloqueiam o download de m\u00f3dulos que n\u00e3o s\u00e3o recebem mais suporte. No entanto, nem o desenvolvedor, nem a plataforma podem remover os plugins vulner\u00e1veis<\/a> j\u00e1 instalados pelos usu\u00e1rios, pois poderiam alterar a p\u00e1gina ou algo muito pior.<\/p>\n

Al\u00e9m disso, plugins abandonados podem n\u00e3o ser armazenados na loja da plataforma, mas em servi\u00e7os dispon\u00edveis ao p\u00fablico. Quando o desenvolvedor interrompe o suporte ou remove um m\u00f3dulo, seu site ainda pode acessar o container<\/em> em que ele estava localizado. Mas os cibercriminosos podem interceptar ou clonar esse container abandonado e for\u00e7\u00e1-lo a baixar malwares em vez do plugin.<\/p>\n

E foi isso que aconteceu com o New Share Counts tweet counter<\/a>, hospedado no servi\u00e7o de armazenamento na nuvem, Amazon S3. Quando o suporte ao plugin foi interrompido, o desenvolvedor postou uma mensagem sobre isso em seu site, mas havia mais de 800 clientes que n\u00e3o o leram sobre essa atualiza\u00e7\u00e3o.<\/p>\n

Logo, o autor do plugin fechou o container no Amazon S3 e os cibercriminosos aproveitaram a situa\u00e7\u00e3o. Criaram um armazenamento com o mesmo nome e introduziram um script malicioso. Sites ainda usam a ficha come\u00e7ou a carregar o novo c\u00f3digo que n\u00e3o redirecionado usu\u00e1rios para combater tweets, mas uma fonte de phishing que prometia um pr\u00eamio em troca de uma pesquisa. Os sites que ainda usam o plugin come\u00e7aram a carregar o novo c\u00f3digo, que redirecionava os usu\u00e1rios para um recurso de phishing<\/em> que prometia um pr\u00eamio por fazer uma pesquisa, em vez do container de tweets.<\/p>\n

Clientes n\u00e3o est\u00e3o cientes da mudan\u00e7a de propriedade<\/strong><\/h3>\n

\u00c0s vezes, os desenvolvedores vendem suas cria\u00e7\u00f5es, ao inv\u00e9s de abandon\u00e1-las diretamente. O problema \u00e9 que geralmente n\u00e3o h\u00e1 grande rigor na sele\u00e7\u00e3o do comprador. Ent\u00e3o, se um cibercriminoso adquirir um m\u00f3dulo, na pr\u00f3xima atualiza\u00e7\u00e3o, seu site pode receber de presente um malware.<\/p>\n

Detectar este tipo de plugin \u00e9 muito complicado, na verdade, eles s\u00e3o geralmente atribu\u00eddos por puro acaso.<\/p>\n

Fique atento aos plugins dos seus sites<\/strong><\/h3>\n

Como voc\u00ea pode ver, existem diversas maneiras de infectar um site por meio da instala\u00e7\u00e3o de plugins. Portanto, recomendamos que voc\u00ea monitore de maneira independente a seguran\u00e7a e a atualiza\u00e7\u00e3o desses m\u00f3dulos em seus sistemas.<\/p>\n