Java, pelo navegador, consegue instalar no sistema qualquer coisa?

Não lembro onde li aqui no fórum mas disseram que ao se navegar, se entrar em site corrompido, pode ser baixado um malware e este ser instalado no sistema sem necessidade de senha root ou algo parecido, disseram algo parecido a isto.

É possível isso no Linux ?

1 curtida

Olá @Henrique-RJ, tudo bem contigo?

A chance de um programa rodando no navegador conseguir instalar um programa no sistema operacional Linux é remota, porque o próprio sistema de permissões de arquivo não permitiria.

Porém, isso não é impossível, caso o programa malicioso esteja se aproveitando de alguma forma de ataque específica que explore falhas no sistema operacional.

A maior parte dos navegadores modernos possuem processos isolados do sistema operacional e caso você esteja usando algum tipo de sandbox como snap ou flatpak, fica mais difícil ainda para um programa malicioso conseguir se alojar no sistema.

Como novas brechas de segurança são descobertas o todo tempo, só nos resta fazer o possível para ficar longe de sites possivelmente arriscados e tomar o máximo de cuidado com o nosso sistema operacional.

:vulcan_salute:

2 curtidas

Entendi, agradeço pela a sua ajuda.

Voltei aqui para perguntar sobre Java. Não é de hoje que dizem que oferece riscos caso seja baixado algum objeto malicioso desse tipo.

Não seria melhor evitar ter o Java instalado no sistema para evitar possíveis riscos de invasão ? Disseram que esse tal objeto baixado e executado pelo Java poderia alcançar instâncias mais elevadas do kernel sem ser impedido vencendo bloqueios do sistema. É isso mesmo ?

Qualquer ferramenta que possibilita compilação de programas é um risco em potencial, nesse ponto, praticamente qualquer linguagem instalada na sua máquina pode representar um perigo. Se você tem apenas o JRE (que é o executador de códigos) e não o JDK (que são os pacotes para desenvolvimento) a superfície de ataque é bem menor.

Minha recomendação é bem simples: se você não usa e se der pode remover, ótimo. Mas, não adianta ficar muito paranoico só com o Java Runtime em específico.

:vulcan_salute:

1 curtida

@eddiecsilva boa explicação simples para quem nada entende do assunto. Infelizmente sou obrigado a usar o JDK por exigência do banco para rodar o aplicativo de segurança do banco senão há muito o teria removido do sistema já por conta desses riscos que são antigos.

Tem alguma forma de desativar esse JDK e só ativar ele quando acessar site bancário de modo fácil e prático ?

Agradeço novamente pela sua ajuda.

O Java é uma linguagem de programação igual a qualquer outra que você tem instalada na sua máquina, então não adianta ficar focando exclusivamente no Java. Observe que qualquer pacote pode conter falhas de segurança, mas nem por isso você vai sair desinstalando todo o sistema operacional.

De toda forma, você pode executar o aplicativo de segurança do banco tendo apenas o JRE instalado, uma vez que o JDK só é imprescindível para o desenvolvimento de aplicativos.

1 curtida

Tecnicamente é possível, mas é preciso que tenha vulnerabilidade no sistema de autenticação do root. Agora se for na sua pasta home pessoal, ai nesse caso não precisa de autenticação. É devido a isso que se deve fazer atualizações que corrige vulnerabilidades.

É para isso que existe o CVE(Common Vulnerabilities and Exposures) é um banco de dados onde fica registrado as vulnerabilidades publicamente conhecidas ou não.

2 curtidas

Rapaz qualquer programa representa um possível risco, quanto menor o numero de programas no sistema menor a possibilidade de ter uma vulnerabilidade na sua maquina, não é exclusivo do Java, qualquer software é um risco potencial. Mas na pratica vc não vai deixar de usar um sistema operacional ou deixar o seu computador desligado eternamente né, ou vai vende-lo por esse motivo né, acredito que ninguém vai fazer isso né?

É tipo andar de carro, tem uma chance de 0,…% de chance de vc sofrer um acidente, ai quer dizer então que vc não vai mais andar de carro por causa dos 0,…% de chance, é tipo um tanto paranoico não acha, os benefícios de andar de carro ao invés de a pé é muito grande, sem falar que andar a pé tmb tem risco, é um tanto paranoico sabe.

2 curtidas

Agradeço a todos pela a ajuda mas me perdoem em insistir no Java pois, pelo que sempre li a respeito, o mesmo tem sido alvo de muitos ataques ao longo dos anos e daí o meu interesse em desativar ele quando não houver necessidade ou seja, nos dias em que eu não acessar bancos.

Ninguém aqui sabe como desativar ele e ativar quando quiser de modo fácil ?

Mas ai vc pode criar um usuário para o seu dia a dia e criar um usuário para o app do seu banco e outras coisas como cadastro no gov.br, assim vc pode dar “trocar de usuário” no login manager quando for usar app do banco, caso o seu usuário seja comprometido pelo javascript no navegador ele vai ser barrado pelo driver do FS no ring zero. lembra de negar o acesso do usuário do dia a dia home do usuário da conta do banco, para o navegador conseguir acessar os arquivos do usuário do banco seria preciso passar pela autorização, então o navegador teria que solicitar que vc digite a senha do usuário do banco para só ai ter acesso ao diretório do usuário do banco, vc tmb pode criptografar a pasta pessoal do usuário do banco assim vc teria que digitar 2 senhas diferentes no navegador para o navegador consiga passar pela criptografia, uma para a criptografia e outra para ter acesso no filesystem.

Ve se tem uma extensão para isso, mas no firefox vc pode desativar o interpretador do javascript(navegador) clicando em:

Para desativar o JavaScript no Firefox, pode-se:
Digitar “about:config” na barra de endereço e pressionar Enter
Pesquisar por “javascript.enabled”
Vai aparecer javascript.enabled e então click em desativar, vai mudar de true para false, recarregue o navegador ou a pagina.

Acho que você está se referindo ao JavaScript, que não é a mesma coisa que Java.

Agradeço a todos mas o @aguamole deu boas sugestões e me lembrei da extensão NoScript que pode ser que venha a testar. Essa extensão para o navegador eu já usei faz muito tempo no Windows e desativava muitos recursos atrapalhando bastante a navegação mas era bem prático e configurável.

Mas o Java é o que o plugin de segurança bancário usa. Vou ter que ter paciência para testar essas coisas pois consome muito tempo esses testes. Talvez o ideal seja mesmo uma navegação segura principalmente em sites que não sejam famosos por serem muito mais visados pelos meliantes.