Judit
-2 °C
8 °C

Támadható a Google asztali keresője

2004.12.20. 12:10
Biztonsági hibát találtak az asztali számítógépekre szánt Google Desktop Search fájlkereső szoftverben. Az ingyenes program segítségével a hackerek megnézhetik, hogy milyen fájlokat tárolunk a számítógépünkön. A Google a szoftver új változatában kijavította a hibát.
Az amerikai Rice Egyetem informatikus kutatója és két tanítványa veszélyes biztonsági hibákat fedeztek föl a Google Desktop Search fájlkeresőben; a hibát kihasználva a támadók titokban megnézhetik, hogy milyen fájlokat tárolunk a számítógépünkön. A biztonsági hiba csak akkor bukkan elő, amikor bizonyos összetevők egymásra hatnak, mondta el a Cnetnek Dan Wallach adjunktus, aki két tanítványa, Seth Fogarty és Seth Nelson segítségével tesztelte a népszerű szoftvert. A szakértők egyébként novemberben találták meg a hibát, és már figyelmeztették a szoftver gyártóját.

Javították a bétát

A Google október 14-én mutatta be az asztali fájlkereső eszköz tesztváltozatát, amely ingyen letölthető a szájtjáról. A böngészőben futó szoftver leindexeli a felhasználó merevlemezén tárolt fájlokat, és egy felületen mutatja meg az online és a helyi keresések találatait. A Google Desktop Search a felhasználó által beírt kulcsszavakat, illetve a keresés eredményét elküldi a vállalat központi szerverére, így a Google olyan szöveges hirdetéseket tud megjeleníteni, amelyek kapcsolódnak a keresésekhez.

A vállalat a hétvégén beismerte, hogy a kutatók a múlt hónapban értesítették a hibáról, és azt is elmondta, hogy a szájtjáról már egy javított változatot lehet letölteni.

Bárkinek elfecsegi

A kutatók szerint a hibát a Google Desktop Search (GDS) online kommunikációja okozza, a szoftver ugyanis a Google.com szájtra irányuló forgalmat figyeli, és ehhez csatolja az asztali kereső eredményeit. Az asztali kereső azonban könnyen átverhető, és arra is rávehető, hogy egy weboldalakra töltse fel az eredményeket; az áldozatnak csupán meg kell látogatnia a támadó weboldalát.

A kutatók ezt bebizonyítandó kreáltak egy Java programot, amely kapcsolatot létesít azzal a webszájttal, ahonnan származik, majd olyan adatforgalmat generál, mintha a Google online keresővel kommunikálna. Ez elegendő volt ahhoz, hogy a GDS kifecsegje a felhasználó adatait, írta a Cnet.