Paciência permite que hackers preencham seus discos de gato

Feross Aboukhadijeh é um programador de computador e estudante em Stanford. Feross identificou uma vulnerabilidade que poderia ser explorada para inundar os discos rígidos de qualquer computador com lixo em muito pouco tempo. Os navegadores Internet Explorer, Safari, Opera e Chrome são todos afetados pela vulnerabilidade.

logotipos do navegador

Para provar seu ponto de vista, Aboukhadijeh criou um site chamado FillDisk.com, visite-o e encher√° seu computador com fotos de gatos.

As experiências realizadas pelo especialista mostraram que 1 GB de dados pode ser baixado em 16 segundos em uma unidade Macbook Pro Retina.

Aboukhadijeh explica que Padr√£o de armazenamento na Web HTML5 foi desenvolvido para permitir que os sites armazenem mais dados no computador do visitante. No entanto, as especifica√ß√Ķes de cada navegador aconselham os desenvolvedores a definir suas pr√≥prias restri√ß√Ķes sobre o tamanho do espa√ßo de armazenamento de cada site para evitar a√ß√Ķes como a descrita acima.

Por exemplo, o Chrome permite 2,5 MB por fonte, o Firefox e o Opera permitem 5 MB e o Internet Explorer muito mais, além de 10 MB.

Embora os navegadores tenham implementado essa restrição, eles negligenciaram outro aspecto recomendado pelo padrão HTML5 Web Storage:

‚ÄúOs agentes de usu√°rio devem proteger-se contra sites que armazenam dados sob a origem de outros sites afiliados, por exemplo, armazenar at√© o limite em a1.example.com, a2.example.com, a3.example.com, etc., contornando o armazenamento principal.com.com limite “.

No Chrome, Safari, Opera e IE, essas restri√ß√Ķes n√£o foram aplicadas para que cada subdom√≠nio de um site possa enviar os 2,5 MB, 5 MB ou 10 MB permitidos pelo navegador.

Como resultado, um site como o FillDisk.com pode ter espaço de armazenamento ilimitado no dispositivo do usuário.

O especialista mencionou a vulnerabilidade do Google, Apple, Microsoft e Opera e espera resolver esse problema imediatamente.

Acontece que o Firefox n√£o √© afetado, porque o aplicativo “localStorage” da Mozilla √© bastante inteligente.

Aqui está o POC em um vídeo postado por Aboukhadijeh: