Segundo o consultor de segurança que criou a prova-de-conceito da brecha, Ricardo Kiyoshi, ao acessar uma página maliciosa que contenha o tal script, este último passa a "pesquisar" todo o histórico que está registrado no cache do navegador. Só que esse script é especializado em mecanismos de buscas. "Um exemplo prático: imagine um empresário que quer saber se seu funcionário andou pesquisando os sites dos concorrentes para saber como enviar seu currículo. Isso é um caso sério de invasão de privacidade", explicou Kiyoshi.

Em um outro exemplo, só que mais radical, um hacker pode instalar esse script eu uma página do Orkut . Caso determinado usuário acessa a tal página, o script pode enviar para o seu criador informações como todas as comunidades que ele acessou. "O cracker tem nas mãos uma ferramenta versátil, que pode ser programada para realizar várias tarefas e que pode ser adaptada para 'xeretar' qualquer ferramenta de buscas da Web", concluiu o consultor.

Para conferir o funcionamento desse mecanismo espião, basta acessar a página de demonstração que a Batori preparou. A dica é colocar no campo de pesquisas alguma palavra que já tenha sido pesquisada pelo Google. Se isso ocorreu, logo abaixo desse campo irá aparecer uma mensagem de confirmação.