A TradingView é uma ferramenta que oferece cotações em tempo real, gráficos gratuitos e sugestões de trade publicados por membros da plataforma. Além de atuar como uma rede social para traders e investidores, é possível operar no mercado por meio da TradingView utilizando APIs. No mundo dos traders de criptoativos, a TradingView é uma plataforma bastante conhecida.
Isso potencializa a seriedade da recente descoberta feita pelos especialistas da aCCESS Security Lab. Uma vulnerabilidade na plataforma encontrada pelo especialista em segurança conhecido como “5ub50l0”, que depois foi acompanhada por outros membros, poderia ser utilizada para “roubar” contas dos usuários da plataforma.
O CriptoFácil conversou com o consultor de segurança Leandro Trindade, que participou da descoberta, para entender melhor qual o potencial impacto desta brecha da ferramenta.
XSS Injection e Ideias
Para aqueles que não conhecem a TradingView, a plataforma oferece logo em sua página inicial diversas “ideias” que são sugestões de traders e investidores sobre determinado ativo e podem ser seguidas. O problema reside justamente nesse ponto.
Segundo Trindade, era possível injetar código dentro de uma falha de XSS presente na criação de uma “ideia”, resultando no roubo de sessão daqueles que carregavam estas ideias em seus computadores. Não era necessário sequer clicar na ideia, bastava apenas que ela fosse carregada pelo navegador do usuário.
Trindade ressalta que a falha já estava presente na plataforma, não sendo necessário causá-la. Em suma, isso quer dizer que não era preciso criar um link que deveria ser clicado pelo usuário – este precisaria apenas “olhar”. Injetando um código malicioso na ideia, ela começaria a obter os cookies dos usuários.
“Nós testamos com algo simples, para fazer aparecer um balão de mensagem para o usuário. Quando vimos que o teste foi bem sucedido, entendemos que esta falha poderia ser utilizada para roubar contas”, conta o especialista.
Um ataque de XSS Injection (abreviação de Cross-site Scripting) ocorre quando um indivíduo utiliza uma aplicação para enviar um código malicioso (através de um script) para o navegador do usuário.
A imagem abaixo, compartilhada pelo consultor de segurança, mostra onde estava a brecha no momento da criação de uma “ideia”:
Ele então elabora:
“Quando a pessoa olha a ideia, executa o script. Nesse caso, botamos algo inofensivo para executar, só uma caixinha de mensagens, confirmando que poderíamos injetar ele no navegador dos clientes.”
O resultado do teste é exemplificado na imagem abaixo, disponibilizada por Trindade:
Trindade revela que a vulnerabilidade XSS Injection decorre de uma distração humana no momento da programação. Ela começou a ser explorada recentemente por hackers, e inclusive já foi descoberta por ele na exchange brasileira Braziliex.
A vulnerabilidade foi corrigida pelo TradingView dentro de pouco menos de três semanas, tendo em vista que a plataforma foi notificada no dia 21 de maio pelos especialistas, e uma recompensa de 400 dólares foi paga ao grupo. Segundo Trindade, este é um período razoável para a correção de uma vulnerabilidade deste porte.
Leia também: Bitstamp inicia investigação após execução de gigante ordem de venda em sua plataforma