Nová hrozba pro Google Desktop

Ostatní | 03.06.07

Je to jen několik dní, co se Google Toolbar ukázal být hrozbou pro Mozilla Firefox. A už tu máme další varování stran softwaru od Google, tentokrát se podobný nedostatek objevil u Google Desktop.





Ve čtvrtek demonstroval hacker Robert Hansen (videozáznam naleznete zde), jak může útočník využít Google Desktop ke spuštění programu, který byl před tím nainstalován do počítače oběti. K využití nové hrozby by musel útočník umístit mezi Google Desktop a jeho serverem svůj vlastní program, který by předstíral činnosti serveru. Ve skutečnosti by se ovšem uživatel přihlásil na falešný web, kterému by mohl sdělovat soukromé údaje, či ještě spíše z něj dostat „dárek“ v podobě nežádoucího software. Přes falešný server by šly požadované webové stránky, ovšem pozměněné, například s přidaným JavaScriptovým kódem.


Pravdou ovšem je, že samotné provedení je dost náročné a není jisté, zda by tento útok šel ve skutečnosti využít pro to dostat do počítače nějaký škodlivý program bez vědomí uživatele. Hansen musel k provedení útoku zkombinovat více jednotlivých kroků využívajících různé slabiny Google Desktop.

V tomto konkrétním případě Hansen spustil Windows HyperTerminal, ale spustit je možné prakticky jakýkoli na počítači již přítomný program. Nicméně i toto ukazuje, jaké nové hrozby se objevují v souvislosti s rozšiřováním programů propojujících webové a desktopové aplikace. Takový program snadno obchází zabezpečení, která jsou jinak vlastní internetovému prohlížeči. A zbavuje uživatele ochrany pramenící z oddělení běhu aplikací z internetu právě jen v internetovém prohlížeči. Lze předpokládat, že Google rychle učiní kroky ke zmenšení nebezpečí této hrozby.

- - Alexandr Radecký














Komentáře