Google Desktop está vulnerável a nova falha, mostra pesquisador
Por Robert McMillan, para o IDG Now!*
Publicada em 01 de junho de 2007 às 09h54
São Francisco - Hacker Robert Hansen publicou uma prova de conceito sobre como a brecha pode ser usada para iniciar software malicioso.
Apenas uma dia após um pesquisador em segurança apontar como a barra do Google - e de outros provedores de busca como Yahoo e AOL - no Firefox poderia ser usada em um ataque online, uma falha similar foi descoberta do Google Desktop.
Na quinta-feira (31/01), o hacker Robert Hansen publicou uma prova de conceito detalhada mostrando como agentes maliciosos podem usar o Google Desktop para iniciar um software previamente instalado no computador da vítima.
O ataque é difícil de executar, mas ilustra o tipo de questões de segurança que surgem com as aplicações baseadas em web, disse Hansen, CEO da consultoria em segurança Sectheory.com e colaborador do site Ha.ckers.org.
“Quando você tem terceiros escrevendo códigos que interagem com o seu navegador, isso intrinsecamente quebra o modelo de segurança dele”, disse o pesquisador.
Para explorar a vulnerabilidade descoberta por Hansen, o agente malicioso teria que executar ataque do tipo “homem no meio”, se colocando entre o usuário e o servidor do Google. Isso pode ser feito levando o usuário a se logar em uma rede sem fio maliciosa, disse Hansen.
Após esse passo, o cracker pode lançar o ataque trocando as páginas enviadas ao PC da vítima. O usuário pode ser levado a clicar em um link malicioso. “Ao clicar na suposta página, ele está clicando em um link para o Google Desktop que roda códigos”, disse ele.
O próprio Hansen aponta que estas manobras são difíceis de executar graças aos recursos de segurança do software do Google. “O que eu fiz combina uma série de ataques diferentes que o Google tenta desesperadamente barrar”.
Esta não é a primeira falha apontada no Google Desktop. Em fevereiro, engenheiros da Watchfire mostraram como uma falha no recurso de Busca Avançada do programa poderia ser usada para ganhar acesso a dados ou rodar códigos arbitrários no computador da vítima.
Dois dias após a falha ser descoberta, o próprio Hansen mostrou como crackers poderiam roubar dados do Google Desktop usnado um ataque conhecido como anti-DNS (Domain Name System).
O Google não estava disponível para comentar o assunto.
Compartilhe:
- DEL.ICIO.US
- GOOGLE BOOKMARKS
- TECHNORATI
- NETVIBES
- DIGG
CONTEÚDO RELACIONADO:
IDG NOW! BUSCA:
Links patrocinados
ÚLTIMAS NOTÍCIAS DO IDG NOW!:
- 5 razões para ficar com o Windows XP
- Vendas do Snow Leopard superam em duas vezes a de seu antecessor
- Número de celulares habilitados no Brasil cresce 1,62% em agosto
- Camisetas para nerds são o suprassumo da moda geek
- Uma a cada cinco empresas nos EUA usa o Google Docs, diz IDC
- Presença de celulares em domicílios no Brasil cresce quase 5 vezes desde 2001
Celular zumbi
Celulares podem ser usados por novo código malicioso para ataques, alertam especialistas.
Da pescaria de senhas aos espiões de namoradas
Num mundo com mais de 6,8 bilhões de pessoas, quantas são hackers? Eis um clube exclusivo.
Links patrocinados
