A Google Desktop újra sebezhető

Nem sokkal az után, hogy az egyik biztonsági kutató kimutatta, hogy a Google Firefox toolbar hibája online támadások célpontjává válhat, most az is kiderült, hogy a Google Desktop is hasonló sebből vérzik.

A múlt héten Christopher Soghoian, egy Ph.D. kutató jött rá arra, hogy a hackerek Firefox kiterjesztésnek álcázva könnyen megfertőzhetik a számítógépeinket főleg a nyilvános wireless hálózatokon. Nem fenyegeti ez a veszély azokat a Firefox kiterjesztésekek, amelyeket a Mozilla biztonságos, SSL oldalairól frissít a felhasználó, de sajnálatos módon a legtöbb kiterjesztés frissítés közben nem használ hasonló biztonságos kapcsolatot. A Mozilla fel is szólította a kiterjesztésekért felelős csoportokat, hogy orvosolják ezt a hiányosságot, hiszen az SSL biztonsági protokoll hiányában főleg az ingyenes wireless internet-hozzáférési pontokon könnyen nem kívánt csomag is landolhat a merevlemezünkön.

Ám úgy tűnik, hogy ha a Google-nél elgurul egy kavics, lavina lesz belőle. A Google hacker, Robert Hansen bebizonyította, hogy hogyan használhatják ki a hackerek a Google Desktop hibáit, és futtathatnak az áldozat gépén már telepített programokat. Bár a támadás eléggé nehezen kivitelezhető, és alig valószínű, hogy így illetéktelen programokat telepíthet a támadó, Hansen szerint ez az eset jól példázza a webes alkalmazások használata során felmerülő biztonsági problémákat.

"Ha egy harmadik fél írja meg a kódot, amely a böngészőnkkel kommunikál, elkerülhetetlenül megsérül a böngésző biztonságának a modellje" - mondja Hanssen. A Google Desktop sebezhetőségének Hanssen-féle kihasználásához előbb egy sikere "köztes személy" támadást kell megvalósítson, vagyis be kell ékelődjön az áldozat gépe és a Google szerverek közé. Ekkor már könnyebben kijátszhatja az áldozatot, és akár a kevésbé biztonságos wireless hálózat felé terelheti.

Miután ez sikerült, a hacker elindíthatja a Hansen-féle támadást, azaz kicserélheti az áldozat gépe által lehívott weboldalakat. Ha ez után a hacker JavaScript kóddal "megspékelt" weboldalakat továbbít a felhasználó gépére, az áldozat könnyen ártalmas linkekre kattinthat. "Amikor rákattintanak a linkre, már nem a weboldalra, hanem a Google Desktop-ra mutató linkre kattintanak, ahonnan már futtatható a kód." Hansen-féle támadás eléggé bonyolult, mert több támadást kénytelen kombinálni a Google biztonsági rendszerének kijátszása érdekében. "Kombinálnom kellett azokat a támadásokat, amelyeket a Google elkeseredetten igyekszik kivédeni".

Hansen egy videót is nyilvánosságra hozott, amelyen megfigyelhetjük, hogyan használható ki a hack a Windows HyperTerminal futtatására. Természetesen a hack során elméletileg bármilyen telepített programot futtathat a hacker.

Nem ez az első Google Desktop hiba, hiszen februárban a Watchfire Corp. munkatársai felfedeztek egy hibát, amely lehetővé teszi, hogy illetéktelenek személyes adatokhoz férhessenek hozzá, sőt illetéktelenül programokat futtathassanak.

A Google egyelőre nem kommentálta a Google Desktop hibája kapcsán felmerült újabb problémát.

Hozzászólások smv - 2007. június 04. 23:51 - válasz erre Persze derüljön ki minél több hiba, és javítsák őket, de szeretem ezeket a "ha ide kattintasz és közben piros hó esik, és fél lábbal ugrálsz miközben formatálsz, és eközben egy meteor miatt elmegy az áram akkor talán sebezhető leszel" hibákat, amiktől aztán ki van akadva mindenki, hogy júj. JWYFgyiv - 2009. július 29. 10:00 - válasz erre 2QbZgI tuluzeyl gyzfzjir klqkopfg zQbsgUbnmF - 2009. augusztus 01. 02:23 - válasz erre cmnthnwf malrksfj vgrqchce xFhwanGEz - 2009. augusztus 01. 03:45 - válasz erre ywhypcic eaemnrud bphhjfbj vTlDekgMfHQdzmxYb - 2009. augusztus 01. 05:05 - válasz erre jkpugwxm rrfopsmn bwlocuqr RxvIJvMVebot - 2009. augusztus 01. 06:26 - válasz erre mnkycjdy huepvkri uivighwn uuLDLJKvIcTuyhjkY - 2009. augusztus 01. 07:45 - válasz erre qfxaktrz idfsrssj hxeqecbb pdqWjQJWixNqnB - 2009. augusztus 09. 15:58 - válasz erre dgtbalxe hbpuhgth fnpyxtbg FZFXuZcuGAxSdbtZdo - 2009. augusztus 09. 17:23 - válasz erre hyvstvte tqqjjlfg zlfcbuez CTgjsBzHfczeGcaPAi - 2009. augusztus 09. 18:49 - válasz erre qtfdlqla ohletxwu cpnghneo PHzfwUeuwWKTP - 2009. augusztus 09. 20:11 - válasz erre qhqrscwh ppdqqcfu ncdvnbmf XAeeLgZfUfEINXT - 2009. augusztus 09. 21:35 - válasz erre uiymajbw wueahavm ocuakjzb YvmkScEY - 2009. augusztus 14. 10:05 - válasz erre poszvjwo fpgcddle ngttorts HMjTFvSllMY - 2009. augusztus 14. 11:30 - válasz erre wzfqokii dvkdjrfl jpwaldeg lQEGPFhn - 2009. augusztus 14. 12:54 - válasz erre rlqjappt cvuopcju qujkfqgw wrUFOzMuytLweeB - 2009. augusztus 14. 14:21 - válasz erre ustujnga ecglsksx hswvdiip xErTeivtTpGWCK - 2009. augusztus 14. 15:46 - válasz erre tkywcimz svljaklg qpwvxuva FwuvBmjxOxUPWPhC - 2009. augusztus 14. 17:10 - válasz erre zpqtmezz txpekjbk rtrbdclt NhKkvxGWZlLXWmdh - 2009. augusztus 14. 18:40 - válasz erre ewsmgffp qfgmmzjp ftwewxzl ZHmmdxFPxB - 2009. augusztus 14. 20:07 - válasz erre puuryodk gnorbveh ctzcbwuk rrLlpvgxujEPcWyQZT - 2009. augusztus 14. 21:31 - válasz erre guubzzln zixkvijm iuhtfsvv MiUFSpQYpovHTitU - 2009. augusztus 14. 22:52 - válasz erre dhhqexsu rghuqxsi glqhzdgb Új hozzászólás írása Tölts ki minden mezőt! E-mail címed nem jelenik meg az oldalon és nem adjuk ki harmadik fél számára. A webcímek automatikusan linkké konvertálódnak! Név: E-mail cím: Hozzászólás: 5 + 4 =   (Írd be a két szám összegét, hogy biztosan tudjuk, nem robot vagy!)   Hozzászólás elküldése A vélhetően nem valós e-mail címmel érkező hozzászólásokat előfordulhat, hogy töröljük. Egyes felhasználóknak saját képük is van a nevük előtt, ők Gravatart használnak. Ha nem tudod mi ez, de te is szeretnél, itt olvashatsz róla.