O Internet Explorer (IE) da Microsoft é, sem sombra de dúvida, o navegador da Web mais popular em todo o mundo. Muitas causas contribuem para essa popularidade, mas independentemente dos motivos, o fato de ser o mais popular aplicativo em determinada área já acarreta ao detentor do título uma grande dor de cabeça: a de ser alvo prioritário em todo tipo de ataque ou golpe que seja desenvolvido.

Como se não bastasse, o IE traz tecnologias que, ao mesmo tempo em que colaboraram para sua popularização, abrem brechas de segurança que vêm sendo utilizadas de muitas maneiras por golpistas da Internet.

Um desses fatores é a pesada integração do software ao sistema operacional Windows, da mesma empresa. Como forma de acelerar o desenvolvimento de aplicativos e também para uniformizar a interface apresentada aos usuários ao navegar tanto pela Internet quanto por seu próprio computador, a Microsoft passou a utilizar recursos do IE dentro do próprio Windows.

A mais grave implicação disso, em termos de segurança, é que algumas vezes componentes utilizados remotamente podem obter níveis de acesso a arquivos e dados do sistema que só deveriam estar disponíveis a usuários – e aplicativos – locais.

Outro ponto crítico na segurança do IE é a utilização de tecnologias como ActiveX e Javascript. A tecnologia Java, que é diferente e independente do Javascript, também pode trazer alguns riscos de segurança, mas não é tão explorada atualmente. Além disso, ela é multi-plataforma, o que significa que eventuais falhas de segurança não seriam, em tese, exclusividade do IE ou do Windows.

Com as duas primeiras, o caso é diferente. Os controles ActiveX são mini-aplicativos disponíveis exclusivamente para o IE no Windows. Eles permitem que uma série de ferramentas disponíveis localmente, no computador do usuário, sejam utilizadas por servidores remotos.

Um exemplo simples é a exibição de vídeo ou áudio “in-line”, no meio das próprias páginas Web. Um componente ActiveX do tocador de mídia (o Windows Media Player, por exemplo) é chamado pelo servidor, que passa parâmetros para controlar o tocador.

Um golpe poderia explorar falhas nos diversos softwares que fornecem controles ActiveX para acionar dados locais dos usuários sem que eles se dessem conta, por exemplo. Ou, como os componentes ActiveX também podem ser baixados da própria Internet, um mini-aplicativo malicioso pode ser desenvolvido especificamente para um golpe.

Por isso, é preciso atenção quando, durante a navegação pela Web, surgir uma tela com um “Aviso de segurança” solicitando permissão para a “instalar e executar” determinado programa. Confira os dados do certificado de autenticidade e tenha certeza da idoneidade do fornecedor do componente. Não se deve, em nenhum caso, marcar a opção “Sempre confiar em conteúdo de...”.

A Microsoft mantém um sistema de assinaturas de softwares ActiveX. No IE, uma opção de segurança permite restringir especificamente a atuação de controles ActiveX não assinados. Essa assinatura não impede que mini-aplicativos maliciosos baseados na tecnologia sejam executados, mas permite que seus autores sejam identificados e, eventualmente, processados judicialmente.

Outra tecnologia controversa é a Javascript, abrangida pelo sistema de segurança da Microsoft sob o nome de scripts ou scripts ativos. Essa nomenclatura inclui o chamado Visual Basic Script (VBS), uma versão específica para o IE dessa linguagem.

Inicialmente com aplicações bastante limitadas, a linguagem Javascript foi ganhando recursos e hoje alguns golpistas habilidosos utilizam uma série de truques para, até mesmo, reproduzir campos e telas do próprio navegador ou do sistema operacional, em tentativas de enganar os usuários.