Ir para o conteúdo
Logo CriptoFácil
  • Últimas Notícias
  • Educação
  • Mercado
  • Bit in Rio
  • Contato
Menu
  • Últimas Notícias
  • Educação
  • Mercado
  • Bit in Rio
  • Contato
Pesquisar
Fechar
  • Últimas Notícias
  • Educação
  • Mercado
  • Bit in Rio
  • Contato
Menu
  • Últimas Notícias
  • Educação
  • Mercado
  • Bit in Rio
  • Contato
Logo CriptoFácil
Pesquisar
Fechar
AO VIVO
Jogue e Ganhe – Oportunidades no mercado de criptomoeda
Clique aqui

Especialistas em segurança descobrem grave vulnerabilidade na plataforma TradingView

  • Por Gino Matos
  • - 12/06/2019
  • às 11:30
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no linkedin
Compartilhar no whatsapp
Compartilhar no telegram
Especialistas em segurança descobrem grave vulnerabilidade na plataforma TradingView

A TradingView é uma ferramenta que oferece cotações em tempo real, gráficos gratuitos e sugestões de trade publicados por membros da plataforma. Além de atuar como uma rede social para traders e investidores, é possível operar no mercado por meio da TradingView utilizando APIs. No mundo dos traders de criptoativos, a TradingView é uma plataforma bastante conhecida.

Isso potencializa a seriedade da recente descoberta feita pelos especialistas da aCCESS Security Lab. Uma vulnerabilidade na plataforma encontrada pelo especialista em segurança conhecido como “5ub50l0”, que depois foi acompanhada por outros membros, poderia ser utilizada para “roubar” contas dos usuários da plataforma.

O CriptoFácil conversou com o consultor de segurança Leandro Trindade, que participou da descoberta, para entender melhor qual o potencial impacto desta brecha da ferramenta.

XSS Injection e Ideias

Para aqueles que não conhecem a TradingView, a plataforma oferece logo em sua página inicial diversas “ideias” que são sugestões de traders e investidores sobre determinado ativo e podem ser seguidas. O problema reside justamente nesse ponto.

Segundo Trindade, era possível injetar código dentro de uma falha de XSS presente na criação de uma “ideia”, resultando no roubo de sessão daqueles que carregavam estas ideias em seus computadores. Não era necessário sequer clicar na ideia, bastava apenas que ela fosse carregada pelo navegador do usuário.

Trindade ressalta que a falha já estava presente na plataforma, não sendo necessário causá-la. Em suma, isso quer dizer que não era preciso criar um link que deveria ser clicado pelo usuário – este precisaria apenas “olhar”. Injetando um código malicioso na ideia, ela começaria a obter os cookies dos usuários.

“Nós testamos com algo simples, para fazer aparecer um balão de mensagem para o usuário. Quando vimos que o teste foi bem sucedido, entendemos que esta falha poderia ser utilizada para roubar contas”, conta o especialista.

Um ataque de XSS Injection (abreviação de Cross-site Scripting) ocorre quando um indivíduo utiliza uma aplicação para enviar um código malicioso (através de um script) para o navegador do usuário.

A imagem abaixo, compartilhada pelo consultor de segurança, mostra onde estava a brecha no momento da criação de uma “ideia”:

Ele então elabora:

“Quando a pessoa olha a ideia, executa o script. Nesse caso, botamos algo inofensivo para executar, só uma caixinha de mensagens, confirmando que poderíamos injetar ele no navegador dos clientes.”

O resultado do teste é exemplificado na imagem abaixo, disponibilizada por Trindade:

Trindade revela que a vulnerabilidade XSS Injection decorre de uma distração humana no momento da programação. Ela começou a ser explorada recentemente por hackers, e inclusive já foi descoberta por ele na exchange brasileira Braziliex.

A vulnerabilidade foi corrigida pelo TradingView dentro de pouco menos de três semanas, tendo em vista que a plataforma foi notificada no dia 21 de maio pelos especialistas, e uma recompensa de 400 dólares foi paga ao grupo. Segundo Trindade, este é um período razoável para a correção de uma vulnerabilidade deste porte.

Leia também: Bitstamp inicia investigação após execução de gigante ordem de venda em sua plataforma

BitcoinTrade: Negocie suas criptomoedas com segurança, liquidez e agilidade!
Cadastre-se agora! Eleita a melhor corretora do Brasil. 95% dos depósitos aprovados em menos de 1 hora, inclusive aos finais de semana! Baixe o nosso App e aproveite! Acesse: www.bitcointrade.com.br

Notícias

Altcoin
Bitcoin
Blockchain
Ethereum
Golpes
Jogos NFT
Metaverso
NFT
Solana
Web 3.0

Destaque

Newsletter
Análise Técnica
Opinião
Educação
Money Block

Guia CriptoFácil

Guia Cripto
Bitcoin 101
Ethereum 101
Blockchain 101
DeFi 101

Sobre Nós

Trabalhe Conosco
Contato

2016 - 2022 © CriptoFácil - Todos os direitos reservados