Roubo de senhas via HTML Injection burla CSP estrita no Chrome, Safari e Firefox
Aprofundamento CEVIU
Aprofundamento
O ataque explora uma falha de design no comportamento de formulários e políticas de referenciador: mesmo com CSP estrita, um HTML injetado pode forçar o navegador a enviar credenciais via URL em redirecionamentos, graças à precedência da tag <meta name="referrer"> sobre as políticas definidas pelo servidor. O Chrome é o mais afetado, ele preenche senhas automaticamente mesmo se o atributo action do formulário apontar para domínio externo. Firefox e Safari exigem que o domínio da action corresponda ao contexto de origem para preencher, tornando o ataque menos direto, mas ainda viável com engenharia social ou manipulação de subdomínios.
Essa técnica não é nova em si: a PortSwigger já alertava em março de 2024 que a diretiva form-action no CSP v2 é frequentemente negligenciada, deixando brechas para 'form hijacking'. Mas agora ela voltou com força em 2026, combinada com o aumento explosivo de ataques que convergem no navegador como superfície única, desde ClickFix até roubo de tokens no github.dev e phishing via resumos do ChatGPT. O padrão é claro: o navegador virou o novo ponto crítico de exfiltração, não por bugs de execução, mas por falhas de configuração e má interpretação de padrões web por parte dos desenvolvedores.
O que mudou
A cobertura anterior do CEVIU não tratava dessa vulnerabilidade específica, mas mostrava o mesmo padrão operacional: ataques de um clique que exploram confiança implícita no navegador (VSCode/github.dev), na renderização de conteúdo (ChatGPhish) ou na interação com páginas falsas (Anthropic). O que mudou agora é a técnica, saiu do JavaScript e do webview para o HTML puro, contornando CSP sem executar código, só com tags meta e redirecionamentos. Isso representa uma mudança tática real: os atacantes migraram para vetores que não dependem de execução, mas sim de manipulação de fluxos de navegação e políticas de privacidade mal configuradas.
Por que isso importa
Empresas que confiam em CSP como barreira principal contra injeção estão expostas, essa falha mostra que política de segurança de conteúdo não protege contra mau uso de padrões legítimos, como referrer e refresh. Um único clique em um link malicioso pode vazar e-mail e senha completos, sem aviso, sem bloqueio de conteúdo e sem necessidade de JS. Para equipes de segurança, isso exige revisão imediata de cabeçalhos HTTP (Referrer-Policy), remoção de unsafe-url em produção e auditoria de todos os endpoints suscetíveis a injeção de HTML, especialmente em sistemas de login, recuperação de senha e páginas de erro personalizadas.
Linha do tempo
PortSwigger Research publica briefing sobre form hijacking como bypass de CSP
CVE-2025-4664 relatada: vazamento cross-origin via política de referenciador em HTML injetado
Nova onda de exploração do mesmo vetor em Chrome, Safari e Firefox, com foco em roubo de senhas via injeção de HTML e redirecionamento
Perguntas frequentes
Por que o CSP não impede esse ataque?
O CSP bloqueia scripts e recursos maliciosos, mas não controla o comportamento de tags HTML como ou . Essas tags são processadas antes da aplicação da política e têm precedência sobre cabeçalhos enviados pelo servidor.
O gerenciador de senhas é o culpado?
Não. Ele está funcionando conforme o esperado: preenche credenciais em formulários detectados. O problema está na forma como o formulário é construído, com action maliciosa e política de referenciador permissiva, algo que o gerenciador não consegue validar.
Sites HTTPS com HSTS estão seguros?
Não. HSTS protege contra downgrade para HTTP, mas não impede que um formulário válido envie dados via GET para um domínio externo. A vulnerabilidade opera inteiramente dentro do protocolo HTTPS, usando redirecionamentos legítimos.
Qual é a melhor mitigação imediata?
Configurar o cabeçalho Referrer-Policy como 'strict-origin-when-cross-origin' ou 'no-referrer', evitar o uso de parâmetros sensíveis em URLs e garantir que todas as páginas com formulários sejam auditadas quanto a injeção de HTML, especialmente mensagens de erro e páginas de fallback.
Fontes
- afine.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 02 de junho de 2026
- Editoria
- CEVIU Segurança da Informação
