Falha no Opera GX permitiu que sites maliciosos instalassem mods automaticamente para roubar dados de páginas visitadas
6 de Julho de 2026

Pesquisadores encontraram uma falha no Opera GX, a versão do navegador da Opera voltada para jogos, que permitia a um site malicioso instalar silenciosamente um complemento do navegador e usá-lo para extrair dados específicos das páginas visitadas pela vítima.

Em uma prova de conceito, eles conseguiram reconstruir o endereço completo do Gmail de um usuário autenticado a partir de uma única visita, sem clique.

A Opera corrigiu a falha e afirma não ter encontrado evidências de que ela tenha sido explorada no mundo real.

A correção foi incluída na versão 130.0.5847.89 do Opera GX, então qualquer pessoa usando uma versão atual já está protegida.

É possível conferir a versão em opera://about.

Não há CVE associado ao caso.

Como o ataque não exigia cliques nem aprovações, não havia alternativa prática além da atualização.

A equipe de bug bounty da Opera classificou o problema como P1, o nível máximo de gravidade, e pagou a recompensa máxima de US$ 5.000 por uma falha crítica.

Como o ataque funciona

Os GX Mods permitem personalizar o Opera GX com sons, temas, papéis de parede e CSS que altera a aparência dos sites visitados.

Eles são distribuídos como arquivos .crx, assim como extensões de navegador, mas não podem executar JavaScript e não têm permissões.

A fraqueza está na forma como esses mods são instalados.

O processo da Opera baixa e ativa o mod automaticamente, sem pedir confirmação.

Assim, uma página maliciosa pode instalar um mod sem que o usuário perceba, por exemplo ao carregar um iframe oculto apontando para um arquivo .crx.

O único sinal é uma barra de notificação abaixo da barra de endereços informando que um mod foi adicionado, com um botão para removê-lo.

Esse comportamento de instalação automática não é novo.

O pesquisador Renwa o identificou em 2023 e, ao transformar um mod instalado em uma extensão completa, conseguiu usá-lo para falsificar a barra de endereços do navegador.

A Opera corrigiu esse ataque específico em março de 2023, mas manteve a instalação automática subjacente, que é justamente a base desta nova pesquisa.

À primeira vista, um mod silencioso apenas de aparência parece inofensivo.

Mas o CSS de um mod é aplicado a todas as páginas visitadas, e não só a uma página isolada.

Em uma injeção comum de CSS, o efeito fica restrito ao site em que o código foi inserido.

Aqui, o estilo do atacante alcança todos os sites abertos no navegador, uma técnica que os pesquisadores chamam de injeção universal de CSS.

O CSS, por si só, não consegue ler uma página e enviá-la para fora.

Mas ele pode ser induzido a vazar um valor, pedaço por pedaço.

O truque depende de seletores de atributo: uma regra pode verificar se o valor de um atributo, como um email escondido em um campo oculto, começa com determinada letra e, só nesse caso, buscar uma imagem no servidor do atacante.

Repetindo isso em larga escala, é possível descobrir o valor caractere por caractere.

Os pesquisadores chamam isso de XS-Leak, abreviação de cross-site leak.

Para extrair um endereço do Gmail, eles direcionaram o ataque a uma página da conta do Google, myaccount.google.com/contactemail, que carrega o endereço dentro de três atributos HTML.

Eles empacotaram um mod com cerca de 150.000 regras CSS, uma para cada combinação possível de três letras do endereço, e deixaram um script de reconstrução juntar as correspondências.

Antes disso, tentaram usar blocos de quatro letras, o que exigiria 5,6 milhões de regras e cerca de 880 MB de CSS.

O navegador não suportou, então eles reduziram para blocos de três caracteres, com sobreposição suficiente para recompor o dado.

A cadeia inteira exigiu apenas um pequeno empurrão.

A vítima acessa a página do atacante, o mod é instalado em poucos segundos e, em seguida, algumas linhas de JavaScript redirecionam o navegador para a página da conta do Google.

O CSS do mod já está carregado ali, então ele dispara as requisições e vaza o endereço enquanto a página é renderizada, antes que a vítima consiga clicar no botão Remover do aviso.

O endereço do Gmail era apenas uma prova de conceito.

A mesma abordagem pode extrair outros valores expostos na marcação da página, como um nome de usuário.

Os pesquisadores também documentaram outro uso desse mesmo caminho de instalação automática, mais bruto: carregar um arquivo .crx enquanto o navegador está em modo privado, ou Incógnito, faz o navegador travar e despejar todas as abas abertas.

Esse efeito atinge o Opera comum também, e não só o Opera GX, já que qualquer arquivo .crx aciona o fluxo de instalação de extensão, independentemente do conteúdo.

O comunicado da Opera trata da correção contra roubo de dados e não menciona a falha de travamento.

Gravidade e contexto maior

O relatório quase não recebeu a atenção devida.

A Opera usa o Bugcrowd para seu programa de recompensa, e os analistas de triagem demoraram a entender o impacto do bug, inicialmente atribuindo uma classificação intermediária P3.

Os pesquisadores insistiram no caso de forma incomum: enquanto um analista reproduzia o ataque, eles capturaram os trigramas do próprio analista, reconstruíram o endereço do Gmail dele e incluíram isso no relatório.

A equipe da Opera então elevou a gravidade para P1 e pagou o valor máximo de US$ 5.000 reservado para falhas críticas.

A própria versão da Opera é mais cautelosa.

Em seu comunicado, a empresa diz estar “bastante confiante” de que a falha nunca foi explorada no mundo real e descreve o ataque como difícil de executar, já que a vítima precisaria entrar em um site malicioso, acabar com um mod recém-instalado e ignorar o aviso de remoção tempo suficiente para que o redirecionamento acontecesse.

A demonstração dos pesquisadores é o contraponto.

O redirecionamento deles acontece em segundos, antes mesmo de o usuário conseguir ler o aviso, quanto mais clicar em Remover.

Era um ataque estreito e trabalhoso, sem vestígios encontrados pela Opera no mundo real, mas que funcionava sem clique algum depois de configurado.

O risco nunca esteve no recurso visual em si.

Estava no alcance.

Quando o CSS de um mod passou a acompanhar o usuário de um site para outro, “apenas estilizar” se mostrou suficiente.

Esse é o desfecho de uma ideia conhecida: roubos baseados apenas em CSS normalmente ficam presos à página onde são injetados, como na pesquisa Blind CSS Exfiltration da PortSwigger, mas aqui o código acompanhava a vítima em todos os sites abertos.

E esta também não é a primeira vez que um recurso da Opera é usado contra os próprios usuários.

A falha MyFlaw, no My Flow da Opera, já havia sido noticiada em 2024, e a empresa já tinha sido alertada sobre esse comportamento de instalação automática desde 2023.

Publicidade

Anuncie no CaveiraTech e coloque sua marca na frente de milhares de profissionais de cybersecurity

Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...