Falha no Chrome permitia que extensões espiãs roubassem dados via Gemini
Brecha de segurança no Chrome expõe dados sensíveis
Uma vulnerabilidade recém-descoberta no Google Chrome permitia que extensões maliciosas escalassem privilégios e acessassem arquivos locais, câmeras e microfones dos usuários. A falha, catalogada como CVE-2026-0628, foi corrigida em janeiro de 2026, mas detalhes técnicos da exploração vieram à tona nesta semana, reacendendo o debate sobre a segurança de navegadores com recursos de inteligência artificial (IA) integrados.
O problema residia na forma como o Chrome lidava com o componente WebView, usado para carregar o painel lateral do Gemini, a IA generativa do Google integrada ao navegador em setembro de 2025. Um atacante poderia convencer o usuário a instalar uma extensão aparentemente inofensiva, mas que, na verdade, injetaria código malicioso no painel do Gemini, explorando a brecha para obter controle sobre funções sensíveis do sistema.
Ataque batizado de ‘Glic Jack’
A equipe de segurança da Palo Alto Networks, Unit 42, batizou o ataque de ‘Glic Jack’ (Gemini Live in Chrome hijack). Segundo os pesquisadores, uma extensão com permissões básicas poderia, através da falha, assumir o controle do painel Gemini Live, acessando a câmera, o microfone e até mesmo capturando screenshots de qualquer website visitado. O pesquisador Gal Weizman, responsável pela descoberta, alertou que a integração de IAs diretamente nos navegadores, embora traga conveniência, também abre novas portas para exploração.
O ponto crítico, segundo Weizman, é a necessidade de conceder a esses agentes de IA acesso privilegiado ao ambiente de navegação para realizar tarefas complexas. Isso cria uma faca de dois gumes: se, por um lado, a IA pode auxiliar o usuário, por outro, um atacante pode inserir comandos ocultos em páginas web maliciosas, induzindo a IA a realizar ações prejudiciais sem o conhecimento do usuário.
Risco de persistência entre sessões
O cenário se agrava com a possibilidade de a página web maliciosa manipular o agente de IA para armazenar as instruções na memória, fazendo com que o ataque persista mesmo após o fechamento do navegador. A vulnerabilidade expõe um risco inerente à integração de IAs em navegadores: a ampliação da superfície de ataque e o ressurgimento de velhos problemas de segurança, como cross-site scripting (XSS) e ataques de canal lateral.
Weizman ressalta que, ao introduzir um novo componente (o painel Gemini) no contexto de alta confiança do navegador, os desenvolvedores podem, inadvertidamente, criar novas falhas lógicas e brechas de implementação. A correção da CVE-2026-0628 impede que extensões com permissões limitadas injetem código JavaScript arbitrário no painel do Gemini, mas o incidente serve de alerta para os desafios de segurança que acompanham a evolução dos navegadores.
A Unit 42 enfatiza que a diferença crucial reside no tipo de componente que carrega o aplicativo Gemini. Enquanto a influência de uma extensão sobre um website é esperada, sua influência sobre um componente interno do navegador representa um risco de segurança grave.
O Que Você Precisa Saber
O que é a vulnerabilidade CVE-2026-0628?
É uma falha de segurança no Google Chrome que permitia que extensões maliciosas escalassem privilégios e acessassem dados sensíveis dos usuários, como câmera, microfone e arquivos locais. A falha foi corrigida em janeiro de 2026.
Como a falha era explorada?
Um atacante convencia o usuário a instalar uma extensão aparentemente inofensiva, que injetava código malicioso no painel lateral do Gemini, a IA do Google integrada ao Chrome. Esse código explorava a brecha para obter controle sobre funções sensíveis do sistema.
Qual o impacto dessa vulnerabilidade?
A falha permitia que atacantes acessassem a câmera e o microfone do usuário sem permissão, capturassem screenshots de qualquer website visitado e acessassem arquivos locais. Além disso, a exploração poderia persistir mesmo após o fechamento do navegador.