Vulnerabilidade no Opera GX permitia instalação silenciosa de add-ons para roubo de dados
Uma falha de segurança no navegador Opera GX permitia que sites maliciosos instalassem add-ons sem o consentimento do usuário, abrindo portas para o roubo de informações confidenciais, como endereços de e-mail.
MundiX News·10 de julho de 2026·6 min de leitura·👁 1 views
Uma vulnerabilidade crítica foi descoberta no navegador Opera GX, permitindo que sites maliciosos instalassem silenciosamente o add-on GX Mods sem a permissão do usuário. Uma vez instalado, este add-on podia ser explorado para roubar dados de outras páginas, com pesquisadores conseguindo extrair o endereço de e-mail de um usuário autenticado apenas visitando um site comprometido. A gravidade da falha reside na sua simplicidade de exploração, exigindo apenas a abertura de uma página web maliciosa.
O Opera GX, construído sobre a base do Chromium, é direcionado a gamers, streamers e criadores de conteúdo, oferecendo recursos avançados de customização e otimização de recursos. Os add-ons GX Mods são projetados para personalizar a aparência do navegador, incluindo temas, papéis de parede, sons e estilos CSS para sites. Embora distribuídos como arquivos .crx, semelhantes a extensões de navegador comuns, eles tradicionalmente não executam JavaScript nem solicitam permissões explícitas.
A falha residia no mecanismo de instalação dos GX Mods. O navegador baixava e ativava o mod automaticamente, sem exibir uma janela de confirmação. Um atacante precisava apenas incorporar um iframe oculto em uma página web, apontando para um arquivo .crx malicioso. A única indicação para o usuário era um pequeno painel sob a barra de endereço com uma opção para remover o mod. Após a instalação, o mod CSS era aplicado a todas as páginas abertas pelo usuário, caracterizando uma injeção CSS universal, pois afetava todas as páginas, diferentemente de ataques CSS tradicionais.
Embora o CSS por si só não possa ler o conteúdo de páginas ou enviá-lo para servidores externos, seletores de atributos podem ser usados para verificar caracteres ou fragmentos de valores de atributos HTML de forma iterativa. Por exemplo, um atacante poderia determinar se um endereço de e-mail oculto começa com uma sequência específica de caracteres. Se houvesse uma correspondência, um pedido de imagem de fundo seria feito a um servidor controlado pelo atacante, permitindo que ele deduzisse qual parte do endereço estava correta. Uma série de tais requisições gradualmente revelaria o valor completo.
Para demonstrar o ataque, os pesquisadores redirecionaram vítimas para a página myaccount.google.com/contactemail, onde o endereço Gmail estava presente em vários atributos HTML. O mod malicioso continha aproximadamente 150.000 regras CSS que testavam todos os fragmentos possíveis de três caracteres do endereço. Um script separado, então, compilava todas as correspondências. Inicialmente, os especialistas tentaram usar fragmentos de quatro caracteres, mas isso exigiu 5,6 milhões de regras e cerca de 880 MB de CSS, o que sobrecarregou o navegador. A mudança para sequências de três caracteres reduziu a carga.
O ataque completo levava apenas alguns segundos: o usuário visitava o site malicioso, o mod era instalado discretamente no Opera GX, e um script JavaScript redirecionava o navegador da vítima para a página de conta do Google. O endereço de e-mail era transmitido aos operadores do ataque antes que o usuário pudesse ler a notificação de instalação do add-on e clicar no botão de remoção. De forma semelhante, outros valores acessíveis na marcação HTML, como nomes de usuário, poderiam ser roubados.
A vulnerabilidade foi corrigida com o lançamento do Opera GX 130.0.5847.89. Nenhum identificador CVE foi atribuído ao problema, e a única forma de proteção é manter o navegador atualizado. A Opera informou não ter encontrado evidências de exploração deste bug em ataques reais. Os pesquisadores que descobriram este vetor de ataque receberam uma recompensa de US$ 5.000 através do programa de bug bounty da Opera. Vale notar que a instalação automática de mods já havia sido criticada anteriormente. Em 2023, um pesquisador conhecido como Renwa a utilizou para transformar um mod em uma extensão completa, chegando a substituir a barra de endereço do navegador. Na época, os desenvolvedores da Opera corrigiram a vulnerabilidade, mas o mecanismo de auto-instalação de mods permaneceu inalterado.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Uma vulnerabilidade crítica foi descoberta no navegador Opera GX, permitindo que sites maliciosos instalassem silenciosamente o add-on GX Mods sem a permissão do usuário. Uma vez instalado, este add-on podia ser explorado para roubar dados de outras páginas, com pesquisadores conseguindo extrair o endereço de e-mail de um usuário autenticado apenas visitando um site comprometido. A gravidade da falha reside na sua simplicidade de exploração, exigindo apenas a abertura de uma página web maliciosa.
O Opera GX, construído sobre a base do Chromium, é direcionado a gamers, streamers e criadores de conteúdo, oferecendo recursos avançados de customização e otimização de recursos. Os add-ons GX Mods são projetados para personalizar a aparência do navegador, incluindo temas, papéis de parede, sons e estilos CSS para sites. Embora distribuídos como arquivos .crx, semelhantes a extensões de navegador comuns, eles tradicionalmente não executam JavaScript nem solicitam permissões explícitas.
A falha residia no mecanismo de instalação dos GX Mods. O navegador baixava e ativava o mod automaticamente, sem exibir uma janela de confirmação. Um atacante precisava apenas incorporar um iframe oculto em uma página web, apontando para um arquivo .crx malicioso. A única indicação para o usuário era um pequeno painel sob a barra de endereço com uma opção para remover o mod. Após a instalação, o mod CSS era aplicado a todas as páginas abertas pelo usuário, caracterizando uma injeção CSS universal, pois afetava todas as páginas, diferentemente de ataques CSS tradicionais.
Embora o CSS por si só não possa ler o conteúdo de páginas ou enviá-lo para servidores externos, seletores de atributos podem ser usados para verificar caracteres ou fragmentos de valores de atributos HTML de forma iterativa. Por exemplo, um atacante poderia determinar se um endereço de e-mail oculto começa com uma sequência específica de caracteres. Se houvesse uma correspondência, um pedido de imagem de fundo seria feito a um servidor controlado pelo atacante, permitindo que ele deduzisse qual parte do endereço estava correta. Uma série de tais requisições gradualmente revelaria o valor completo.
Para demonstrar o ataque, os pesquisadores redirecionaram vítimas para a página myaccount.google.com/contactemail, onde o endereço Gmail estava presente em vários atributos HTML. O mod malicioso continha aproximadamente 150.000 regras CSS que testavam todos os fragmentos possíveis de três caracteres do endereço. Um script separado, então, compilava todas as correspondências. Inicialmente, os especialistas tentaram usar fragmentos de quatro caracteres, mas isso exigiu 5,6 milhões de regras e cerca de 880 MB de CSS, o que sobrecarregou o navegador. A mudança para sequências de três caracteres reduziu a carga.
O ataque completo levava apenas alguns segundos: o usuário visitava o site malicioso, o mod era instalado discretamente no Opera GX, e um script JavaScript redirecionava o navegador da vítima para a página de conta do Google. O endereço de e-mail era transmitido aos operadores do ataque antes que o usuário pudesse ler a notificação de instalação do add-on e clicar no botão de remoção. De forma semelhante, outros valores acessíveis na marcação HTML, como nomes de usuário, poderiam ser roubados.
A vulnerabilidade foi corrigida com o lançamento do Opera GX 130.0.5847.89. Nenhum identificador CVE foi atribuído ao problema, e a única forma de proteção é manter o navegador atualizado. A Opera informou não ter encontrado evidências de exploração deste bug em ataques reais. Os pesquisadores que descobriram este vetor de ataque receberam uma recompensa de US$ 5.000 através do programa de bug bounty da Opera. Vale notar que a instalação automática de mods já havia sido criticada anteriormente. Em 2023, um pesquisador conhecido como Renwa a utilizou para transformar um mod em uma extensão completa, chegando a substituir a barra de endereço do navegador. Na época, os desenvolvedores da Opera corrigiram a vulnerabilidade, mas o mecanismo de auto-instalação de mods permaneceu inalterado.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.