Chrome está bloqueando downloads de conteúdo misto para evitar ataques MiTM

O Google afirmou que o Chrome está bloqueando downloads de conteúdo misto para evitar ataques MiTM. Confira os detalhes dessa mudança.

O Google está avançando com seu plano de bloquear downloads de conteúdo misto de sites para proteger os usuários de ataques do tipo man-in-the-middle (MiTM).

Chrome está bloqueando downloads de conteúdo misto para evitar ataques MiTM
Chrome está bloqueando downloads de conteúdo misto para evitar ataques MiTM

Desde 2019 o Google estava tentando bloquear downloads de conteúdo misto, que são arquivos entregues por uma conexão HTTP insegura quando são iniciados a partir de sites HTTPS.

Em um anúncio publicado recentemente, o Google esboçou seu plano de implantar gradualmente esse recurso no Chrome, exibindo primeiro avisos do console para o eventual bloqueio de todos os arquivos baixados de conteúdo misto.

Chrome está bloqueando downloads de conteúdo misto para evitar ataques MiTM

O Google afirma que eles estão bloqueando esses tipos de downloads, pois representam um risco para a segurança e a privacidade de um usuário, uma vez que podem ser trocados ou visualizados em ataques do tipo man-in-the-middle (MiTM).

Em um post no seu blog, o Google afirmou que:

“Arquivos baixados de forma insegura são um risco para a segurança e a privacidade dos usuários. Por exemplo, os programas baixados de forma insegura podem ser trocados por malware por invasores, e os bisbilhoteiros podem ler extratos bancários baixados de forma insegura. Para lidar com esses riscos, planejamos eventualmente remover o suporte a downloads inseguros no Chrome.”

Esse recurso será implementado gradualmente nas seguintes próximas versões do Google Chrome:

  • Chrome 81 (lançado em março de 2020): o Chrome imprimirá uma mensagem do console avisando sobre todos os downloads de conteúdo misto.
  • Chrome 82 (lançado em abril de 2020): o Chrome avisa sobre downloads de conteúdo misto de executáveis ​​(por exemplo, .exe).
  • Chrome 83 (lançado em junho de 2020): o Chrome bloqueia os executáveis ​​de conteúdo misto, mas avisa sobre arquivos de conteúdo misto (.zip) e imagens de disco (.iso).
  • Chrome 84 (lançado em agosto de 2020): O Chrome bloqueia executáveis, arquivos e imagens de disco de conteúdo misto, mas avisa sobre todos os outros downloads de conteúdo misto, exceto os formatos de imagem, áudio, vídeo e texto.
  • Chrome 85 (lançado em setembro de 2020): o Chrome avisa sobre downloads de conteúdo misto de imagens, áudio, vídeo e texto e bloqueia todos os outros downloads de conteúdo misto
  • Chrome 86 (lançado em outubro de 2020): o Chrome bloqueará todos os downloads de conteúdo misto.

Isso é ilustrado na imagem a seguir:

Roteiro para o bloqueio de downloads inseguros Fonte: Google

Para usuários de Android e iOS, o lançamento será adiado por uma versão com avisos iniciados no Chrome 83, pois os dispositivos móveis têm uma melhor proteção nativa contra os arquivos baixados.

O Google afirma ainda que planeja restringir ainda mais downloads inseguros no futuro, o que provavelmente significa que eles bloquearão todos os downloads de sites inseguros, independentemente do tipo de site em que o download foi iniciado.

Testando o recurso agora

Para usuários que desejam testar esse recurso, o Google possui um sinalizador experimental intitulado “Treat risky downloads over insecure connections as active mixed content” (Tratar downloads arriscados em conexões não seguras como conteúdo misto ativo) que pode ser ativado no Chrome 80 e versões posteriores.

Chrome está bloqueando downloads de conteúdo misto para evitar ataques MiTM
Sinalizador experimental “Treat risky downloads over insecure connections as active mixed content”

Uma vez ativado, se você tentar iniciar um download entregue por uma conexão HTTP insegura quando eles forem iniciados em sites HTTPS, você verá um aviso informando que “[executável] .exe não pode ser baixado com segurança”.
evitar ataques MiTM
Tentativa de iniciar um download entregue por uma conexão HTTP insegura

Você pode testar esse recurso acessa essa página de prova de conceito.

O que está sendo falado no blog

Post Views: 474

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.