|
Sáb, 02 de Junho de 2007 07:05 |
Apenas uma dia após um pesquisador em segurança apontar como a barra do Google - e de outros provedores de busca como Yahoo e AOL - no Firefox poderia ser usada em um ataque online, uma falha similar foi descoberta do Google Desktop.
São Francisco - Hacker Robert Hansen publicou uma prova de conceito sobre como a brecha pode ser usada para iniciar software malicioso.
Na quinta-feira (31/01), o hacker Robert Hansen publicou uma prova de conceito detalhada mostrando como agentes maliciosos podem usar o Google Desktop para iniciar um software previamente instalado no computador da vítima.
O ataque é difícil de executar, mas ilustra o tipo de questões de segurança que surgem com as aplicações baseadas em web, disse Hansen, CEO da consultoria em segurança Sectheory.com e colaborador do site Ha.ckers.org.
“Quando você tem terceiros escrevendo códigos que interagem com o seu navegador, isso intrinsecamente quebra o modelo de segurança dele”, disse o pesquisador.
Para explorar a vulnerabilidade descoberta por Hansen, o agente malicioso teria que executar ataque do tipo “homem no meio”, se colocando entre o usuário e o servidor do Google. Isso pode ser feito levando o usuário a se logar em uma rede sem fio maliciosa, disse Hansen.
Após esse passo, o cracker pode lançar o ataque trocando as páginas enviadas ao PC da vítima. O usuário pode ser levado a clicar em um link malicioso. “Ao clicar na suposta página, ele está clicando em um link para o Google Desktop que roda códigos”, disse ele.
O próprio Hansen aponta que estas manobras são difíceis de executar graças aos recursos de segurança do software do Google. “O que eu fiz combina uma série de ataques diferentes que o Google tenta desesperadamente barrar”.
Esta não é a primeira falha apontada no Google Desktop. Em fevereiro, engenheiros da Watchfire mostraram como uma falha no recurso de Busca Avançada do programa poderia ser usada para ganhar acesso a dados ou rodar códigos arbitrários no computador da vítima.
Dois dias após a falha ser descoberta, o próprio Hansen mostrou como crackers poderiam roubar dados do Google Desktop usnado um ataque conhecido como anti-DNS (Domain Name System).
O Google não estava disponível para comentar o assunto.
Fonte: IDG Now
|
