Lỗ hổng Google Desktop trước cuộc tấn công mới

Chỉ một ngày sau khi các chuyên gia bảo mật đưa ra lỗ hổng của Google Toolbar trên Firefox, thì một lỗ hổng khác tương tự cũng được tìm thấy trong Google Desktop.

Hôm thứ năm vừa qua, "kẻ tấn công" Google Robert Hansen đã đưa lên bằng chứng chi tiết về việc các kẻ tấn công có thể sử dụng Google Desktop để khởi chạy phần mềm chắc chắn đã bị cài đặt lên máy tính nạn nhân.

Cuộc tấn công khó có thể thực hiện được và không nhất thiết là sử dụng để cài đặt phần mềm không cho phép lên máy tính nạn nhân, nhưng nó lại minh họa cho một nỗi lo về bảo mật được phát sinh bởi các ứng dụng nền tảng Web, Hansen – CEO cố vấn bảo mật web của Sectheory.com và cũng là cộng tác của website Ha.kers.org – nói.

Khi dựa vào các công ty thứ ba để có mã nhằm tác động lên trình duyệt của bạn, nó thực ra đã phá hỏng mô hình bảo mật của chính trình duyệt”, ông nói.

Để khai thác lỗ hổng Google Desktop của Hansen, kẻ tấn công đầu tiên sẽ khởi chạy một tấn công “man-in-the-middle” thành công, bằng cách này hắn sẽ tự đặt mình vào giữa máy tính nạn nhân và các máy chủ Google. Điều này có thể được thực hiện dễ dàng hơn nữa khi máy bị tấn công truy cập vào một mạng không dây độc hại.

Một khi điều này xảy ra, kẻ tấn công có thể bắt đầu cuộc tấn công bằng cách thay đổi các trang web mà máy tính nạn nhân vào. Bằng cách điều hướng tới trang web giả mạo với đoạn mã JavaScript mới, máy tính nạn nhân có thể bị lừa để kích lên một kết nối nguy hiểm.

Những bước mà Hansen đã thực hiện tấn công rất rắc rối bởi các tính năng bảo mật mà Google đã tích hợp trong phần mềm của họ.

Hôm thứ tư vừa qua, nghiên cứu sinh Christopher Soghoian cũng đã đưa ra một tấn công man-in-the-middle có thể sử dụng để cài đặt phần mềm độc hại lên các máy tính có sử dụng một số công cụ add-on phổ biến của Firefox, trong đó bao gồm cả toolbar của Googe, Yahoo và AOL.

Hansen đã đưa lên hình ảnh của cuộc tấn công này sử dụng để khởi chạy Windows HyperTerminal. Nhưng nó cũng có thể được sử dụng để khởi chạy bất kỳ ứng dụng ảo nào đã thực sự được cài đặt trên máy tính.

Đây không phải là lỗi đầu tiên của Google Desktop. Trong tháng hai vừa qua, các kỹ sư của Watchfire Corp. cũng đã đưa ra một lỗ hổng trong tính năng tìm kiếm nâng cao (Advanced Search Feature) của chương trình này, nó có thể được sử dụng để truy cập tới dữ liệu hay thậm chí chạy phần mềm trái phép trên máy tính nạn nhân.

Hai ngày sau khi lỗ hổng do Watchfire phát hiện được công bố, chính Hansen cũng đã đưa ra cách mà các kẻ tấn công có thể ăn cắp thông tin từ người dùng Google Desktop.

Google vẫn chưa trực tiếp bình luận gì về các lỗi mới đây.

Hồng Ngân

Theo ComputerWorld, QuanTriMang
Danh mục

Khám phá khoa học

Sinh vật học

Khảo cổ học

Đại dương học

Thế giới động vật

Khoa học vũ trụ

Danh nhân thế giới

Ngày tận thế

1001 bí ẩn

Chinh phục sao Hỏa

Kỳ quan thế giới

Người ngoài hành tinh - UFO

Trắc nghiệm Khoa học

Khoa học quân sự

Lịch sử

Tại sao

Địa danh nổi tiếng

Hỏi đáp Khoa học

Công nghệ mới

Khoa học máy tính

Phát minh khoa học

AI - Trí tuệ nhân tạo

Y học - Sức khỏe

Môi trường

Bệnh Ung thư

Ứng dụng khoa học

Câu chuyện khoa học

Công trình khoa học

Sự kiện Khoa học

Thư viện ảnh

Video