Fabián Cuchietti, pesquisador e especialista em pentesting, apresentou na conferência Ekoparty 2018 a palestra intitulada "Pwning Google Earth". Na ocasião, Cuchietti destacou detalhes de uma vulnerabilidade recente que ele descobriu no Google Earth. Segundo o especialista, a falha permite que um cibercriminoso entre remotamente em outro computador e tenha acesso a informações pessoais contidas no dispositivo.
Cuchietti, que tem experiência no descobrimento de vulnerabilidades de grandes empresas, como Microsoft, Mozzila, Facebook ou Apple, entre outras, disse que começou com essa pesquisa há sete meses. "Escolhi procurar vulnerabilidades no Google Earth porque tinha coisas interessantes e também porque é um produto usado por muitas empresas e organizações, como a NASA", explicou o especialista. A ferramenta do Google pode ser usada, por exemplo, por uma empresa de petróleo para criar seus mapas ou por atletas que fazem trekking e a usam para criar trilhas de caminhada.
Quando perguntado se a vulnerabilidade encontrada no Google Earth tem o mesmo efeito no Google Maps, o pesquisador explicou ao WeLiveSecurity que eles trabalham com a mesma API e os mesmos servidores e que, antes de relatar a vulnerabilidade para o Google, era possível usar o mesmo vector de infecção no Google Maps.
Desenvolvimento de um exploit que se apreveita dos arquivos KMZ
Cuchietti desenvolveu um exploit que se aproveita dos arquivos KMZ usados pelo Google Earth para empacotar um conjunto de arquivos e compactar o conteúdo a fim de facilitar o download. Desta forma, o especialista demostrou que um cibercriminoso pode estabelecer uma conexão inversa entre seu computador e a vítima, que se infecta apenas ao abrir uma localização, sem precisar baixar nada.
O importante da descoberta é que, por meio de um produto do Google, um cibercriminoso pode causar muitos danos apenas compartilhando uma localização por meio de um link ou coordenadas e, assim, roubar sua conta do Gmail, Facebook, sequestrar cookies, arquivos do dispositivo e qualquer serviço ao qual a vítima esteja conectada. Além disso, o bug pode afetar a todos os sistemas, como Windows, Linux, Mac, iOS ou Android, explicou o especialista.
Como um usuário pode ser infectado através desta vulnerabilidade?
Se alguém compartilhar uma localização na qual um cibercriminoso tenha incluído um código malicioso, quando o usuário clicar nela, um pop-up será aberto com os detalhes da localização compartilhada, que pode ser de uma empresa, um parque ou uma agência do governo, que inclui fotos desse ponto, comentários, etc. Portanto, cada usuário que procure informações sobre uma empresa na qual o invasor tenha inserido o código malicioso será infectado. Desta forma, um cibercriminoso pode ativar uma conexão reversa, ou seja, o computador infectado abre uma porta para que o invasor possa entrar. Depois de acessar o dispositivo, o invasor pode atacar do outro lado com o intuito de persistir. Algo importante é que a vulnerabilidade permite comprometer o dispositivo de uma vítima sem que seja necessário que o usuário baixe algo, razão pela qual nenhum antivírus a detectou, esclareceu Cuchietti.
O bug já foi reportado para o Google e a empresa está trabalhando em um patch. Além disso, o pesquisador recebeu uma recompensa pela descoberta.