Google Desktop está vulnerável a nova falha, mostra pesquisador
Por Robert McMillan, para o IDG Now!*
Publicada em 01 de junho de 2007 às 09h54
São Francisco - Hacker Robert Hansen publicou uma prova de conceito sobre como a brecha pode ser usada para iniciar software malicioso.
Apenas uma dia após um pesquisador em segurança apontar como a barra do Google - e de outros provedores de busca como Yahoo e AOL - no Firefox poderia ser usada em um ataque online, uma falha similar foi descoberta do Google Desktop.
Na quinta-feira (31/01), o hacker Robert Hansen publicou uma prova de conceito detalhada mostrando como agentes maliciosos podem usar o Google Desktop para iniciar um software previamente instalado no computador da vítima.
O ataque é difícil de executar, mas ilustra o tipo de questões de segurança que surgem com as aplicações baseadas em web, disse Hansen, CEO da consultoria em segurança Sectheory.com e colaborador do site Ha.ckers.org.
“Quando você tem terceiros escrevendo códigos que interagem com o seu navegador, isso intrinsecamente quebra o modelo de segurança dele”, disse o pesquisador.
Para explorar a vulnerabilidade descoberta por Hansen, o agente malicioso teria que executar ataque do tipo “homem no meio”, se colocando entre o usuário e o servidor do Google. Isso pode ser feito levando o usuário a se logar em uma rede sem fio maliciosa, disse Hansen.
Após esse passo, o cracker pode lançar o ataque trocando as páginas enviadas ao PC da vítima. O usuário pode ser levado a clicar em um link malicioso. “Ao clicar na suposta página, ele está clicando em um link para o Google Desktop que roda códigos”, disse ele.
O próprio Hansen aponta que estas manobras são difíceis de executar graças aos recursos de segurança do software do Google. “O que eu fiz combina uma série de ataques diferentes que o Google tenta desesperadamente barrar”.
Esta não é a primeira falha apontada no Google Desktop. Em fevereiro, engenheiros da Watchfire mostraram como uma falha no recurso de Busca Avançada do programa poderia ser usada para ganhar acesso a dados ou rodar códigos arbitrários no computador da vítima.
Dois dias após a falha ser descoberta, o próprio Hansen mostrou como crackers poderiam roubar dados do Google Desktop usnado um ataque conhecido como anti-DNS (Domain Name System).
O Google não estava disponível para comentar o assunto.
Compartilhe:
- DEL.ICIO.US
- GOOGLE BOOKMARKS
- TECHNORATI
- NETVIBES
- DIGG
CONTEÚDO RELACIONADO:
IDG NOW! BUSCA:
Links patrocinados
ÚLTIMAS NOTÍCIAS DO IDG NOW!:
- Software livre ganha força com sistema operacional do Google
- Nova lei eleitoral que permite uso da web em campanhas é aprovada
- Chrome OS: advogados levantam questões de privacidade e concorrência
- Loja de aplicativos da Apple faz 1 ano
- Cidade de Deus, no Rio de Janeiro, ganha banda larga gratuita sem fio
- Tempo gasto por crianças dos EUA na internet cresceu 63% em cinco anos
Links patrocinados
Brasil no rastro dos golpes
Delegado da Polícia Federal detalha novo sistema para analisar golpes por e-mail no País.
Roubo de senhas
Denny Roger relata as técnicas mais utilizadas para roubo de senhas. Saiba como proteger a sua.
Links patrocinados
