Google responde sobre segurança do Google Gears Offline

Segundo informações publicadas pela Information Week, falhas em tecnologias como do Google Gears poderia permitir que sistemas maliciosos tenham acesso repleto as informações armazenadas localmente, como o conteúdo de e-mails e outros serviços.

Em apresentação na conferência Black Hat na capital de Washington, Michael Sutton, Vice-Presidente de pesquisas de buscas para a Zscaler, demonstrou como um serviço com suporte ao Google Gears poderia ser atacado usando um script cross-site (XSS) que explora uma vulnerabilidade e permite que as informações armazenadas localmente no banco de dados do Google Gears poderiam ser acessadas e/ou alteradas.

“Google Gears é uma tecnologia segura” disse Sutton em entrevista ao site. O problema é que a tecnologia segura se torna insegura quando conectada a sites maliciosos. Sutton espera que a tecnologia offline se torne ainda mais ampla e que mais sites possam tirar proveito das vantagens do Gears e HTML5.

Em resposta aos questionamentos de Sutton, o Google declarou que considera a pesquisa válida como um guia de segurança fornecido aos desenvolvedores. “Nós construímos o Gears com foco na segurança, e as descobertas de falhas pelo Sr. Sutton não estão diretamente ligadas ao produto” disse um porta-voz da empresa.

“O trabalho do Sr. Sutton apresenta pontos importantes para desenvolvedores que estão construindo aplicativos para o Gears, como aplicações web, a segurança das informações locais depende muito dos desenvolvedores e as implementações em aplicações devem ser feitas com muito cuidado. Nós trabalhamos duro em segurança de nossas próprias aplicações, e fornecemos ferramentas e documentações aos desenvolvedores para ajuda-los a evitar qualquer vulnerabilidade como XSS em aplicações” finalizou o Google.