Início » Antivírus e Segurança » Google vai bloquear uma forma de login em apps para evitar ataques

Google vai bloquear uma forma de login em apps para evitar ataques

Não será possível fazer login a partir de navegadores integrados

Por
19/04/2019 às 09h40

Fazer login em sua conta do Google por meio de um aplicativo no celular poderá ficar menos prático, mas é por uma boa causa. O Google anunciou na quinta-feira (18) que, a partir de junho, bloqueará tentativas de login que sejam feitas através de navegadores integrados para evitar um tipo de ataque conhecido como man-in-the-middle (MITM).

Google / Login

A empresa já havia implementado diversas restrições de segurança em sua página de login. Por exemplo, desde o ano passado, é obrigatório ter o JavaScript ativado no navegador para preencher usuário e senha: isso permite que o Google execute um script de avaliação de risco para verificar se o acesso é legítimo ou uma tentativa de roubar informações.

Agora, o Google vai bloquear o acesso em navegadores integrados. Como assim? Em certos aplicativos, você pode entrar em páginas de outros sites sem precisar abrir o Chrome ou outro navegador — é o caso do Facebook e do Twitter, por exemplo. Com isso, você fica mais feliz (o carregamento é mais rápido) e o desenvolvedor também (afinal, você passa mais tempo no aplicativo dele).

Mas, quando a página é um formulário de login, isso abre uma potencial brecha de segurança: um aplicativo malicioso pode interceptar a comunicação entre você e o Google em tempo real, obtendo dados como nome de usuário, login e até código de autenticação de dois fatores. Trata-se de um ataque man-in-the-middle (MITM).

O Google explica que “como não conseguimos diferenciar um login legítimo de um ataque MITM nessas plataformas, vamos bloquear logins em frameworks de navegadores integrados a partir de frameworks de navegadores integrados a partir de junho”.

Para os desenvolvedores, a solução é migrar para a autenticação baseada em OAuth, que permite que os usuários vejam o endereço completo da página que estão tentando fazer login.

Mais sobre: