Google Desktop存缺陷 要利用亦非易事

作者:刘彦青  来源: 赛迪网   日期:2007.06.04 10:18 (共有 条评论)  我要评论
  仅仅在一名安全研究人员演示Google的Firefox工具条会受到攻击一天后,Google Desktop就被发现存在类似的缺陷。

  6月2日消息,仅仅在一名安全研究人员演示Google的Firefox工具条会受到攻击一天后,Google Desktop就被发现存在类似的缺陷。

  据IDGNS网站报道称,美国旧金山当地时间本周四,Web安全咨询厂商Sectheory.com的首席执行官罗伯特发布了概念证明代码的详细资料,说明了黑客是如何利用Google Desktop启动已经安装在用户计算机上的软件的。

  罗伯特说,这种攻击不会被用来在用户的PC上安装非授权软件,但它表明了基于Web的应用软件引发的这类问题。他表示,当允许第三方编写与浏览器交互的代码时,它肯定会破坏浏览器的安全模式。

  要利用罗伯特演示的Google Desktop缺陷,黑客必须首先发动成功的“中间人”攻击,这可以通过诱骗用户登录到一个恶意的无线网络来实现。一旦完成“中间人”攻击,黑客可以通过修改发布到用户PC上的网页发动“罗伯特的”攻击。通过返回已经被“搀进”新的JavaScript代码的Web网页,用户可能被诱骗点击一个恶意链接。罗伯特说,当用户点击鼠标按键时,他们访问的不是希望的网页,而是运行有其它代码的Google Desktop。

  罗伯特演示的攻击步骤非常复杂,因为Google已经在其软件中集成了安全功能。他说,我的攻击融合了多种Google试图阻止的攻击。

  本周三,安全研究人员克里斯托弗演示了如何利用“中间人”攻击在运行有多种Firefox插件的计算机上安装恶意软件,其中包括由Google、雅虎、AOL发布的Firefox插件。

  罗伯特发布了一段视频内容,演示如何利用这一攻击启动Windows HyperTerminal。但是,这种攻击能够用来启动已经安装在用户计算机上的几乎任何应用软件。

  这并非Google Desktop中被发现的第一个软件。2月份,Watchfire的工程师演示了如何利用该软件的“先进搜索功能”访问用户计算机的资料,甚至运行非授权软件。

  在Watchfire发现缺陷二天后,罗伯特演示了黑客是如何利用anti-DNS pinning攻击窃取Google Desktop用户信息的。

Google Desktop瀛樼己闄 瑕佸埄鐢ㄤ害闈炴槗浜媉TechWeb

Google Desktop瀛樼己闄 瑕佸埄鐢ㄤ害闈炴槗浜

銆銆6鏈2鏃ユ秷鎭紝浠呬粎鍦ㄤ竴鍚嶅畨鍏ㄧ爺绌朵汉鍛樻紨绀篏oogle鐨凢irefox宸ュ叿鏉′細鍙楀埌鏀诲嚮涓澶╁悗锛孏oogle Desktop灏辫鍙戠幇瀛樺湪绫讳技鐨勭己闄枫

銆銆鎹甀DGNS缃戠珯鎶ラ亾绉帮紝缇庡浗鏃ч噾灞卞綋鍦版椂闂存湰鍛ㄥ洓锛學eb瀹夊叏鍜ㄨ鍘傚晢Sectheory.com鐨勯甯墽琛屽畼缃椾集鐗瑰彂甯冧簡姒傚康璇佹槑浠g爜鐨勮缁嗚祫鏂欙紝璇存槑浜嗛粦瀹㈡槸濡備綍鍒╃敤Google Desktop鍚姩宸茬粡瀹夎鍦ㄧ敤鎴疯绠楁満涓婄殑杞欢鐨勩

銆銆缃椾集鐗硅锛岃繖绉嶆敾鍑讳笉浼氳鐢ㄦ潵鍦ㄧ敤鎴风殑PC涓婂畨瑁呴潪鎺堟潈杞欢锛屼絾瀹冭〃鏄庝簡鍩轰簬Web鐨勫簲鐢ㄨ蒋浠跺紩鍙戠殑杩欑被闂銆備粬琛ㄧず锛屽綋鍏佽绗笁鏂圭紪鍐欎笌娴忚鍣ㄤ氦浜掔殑浠g爜鏃讹紝瀹冭偗瀹氫細鐮村潖娴忚鍣ㄧ殑瀹夊叏妯″紡銆

銆銆瑕佸埄鐢ㄧ綏浼壒婕旂ず鐨凣oogle Desktop缂洪櫡锛岄粦瀹㈠繀椤婚鍏堝彂鍔ㄦ垚鍔熺殑鈥滀腑闂翠汉鈥濇敾鍑伙紝杩欏彲浠ラ氳繃璇遍獥鐢ㄦ埛鐧诲綍鍒颁竴涓伓鎰忕殑鏃犵嚎缃戠粶鏉ュ疄鐜般備竴鏃﹀畬鎴愨滀腑闂翠汉鈥濇敾鍑伙紝榛戝鍙互閫氳繃淇敼鍙戝竷鍒扮敤鎴稰C涓婄殑缃戦〉鍙戝姩鈥滅綏浼壒鐨勨濇敾鍑汇傞氳繃杩斿洖宸茬粡琚滄悁杩涒濇柊鐨凧avaScript浠g爜鐨刉eb缃戦〉锛岀敤鎴峰彲鑳借璇遍獥鐐瑰嚮涓涓伓鎰忛摼鎺ャ傜綏浼壒璇达紝褰撶敤鎴风偣鍑婚紶鏍囨寜閿椂锛屼粬浠闂殑涓嶆槸甯屾湜鐨勭綉椤碉紝鑰屾槸杩愯鏈夊叾瀹冧唬鐮佺殑Google Desktop銆

銆銆缃椾集鐗规紨绀虹殑鏀诲嚮姝ラ闈炲父澶嶆潅锛屽洜涓篏oogle宸茬粡鍦ㄥ叾杞欢涓泦鎴愪簡瀹夊叏鍔熻兘銆備粬璇达紝鎴戠殑鏀诲嚮铻嶅悎浜嗗绉岹oogle璇曞浘闃绘鐨勬敾鍑汇

銆銆鏈懆涓夛紝瀹夊叏鐮旂┒浜哄憳鍏嬮噷鏂墭寮楁紨绀轰簡濡備綍鍒╃敤鈥滀腑闂翠汉鈥濇敾鍑诲湪杩愯鏈夊绉岶irefox鎻掍欢鐨勮绠楁満涓婂畨瑁呮伓鎰忚蒋浠讹紝鍏朵腑鍖呮嫭鐢盙oogle銆侀泤铏庛丄OL鍙戝竷鐨凢irefox鎻掍欢銆

銆銆缃椾集鐗瑰彂甯冧簡涓娈佃棰戝唴瀹癸紝婕旂ず濡備綍鍒╃敤杩欎竴鏀诲嚮鍚姩Windows HyperTerminal銆備絾鏄紝杩欑鏀诲嚮鑳藉鐢ㄦ潵鍚姩宸茬粡瀹夎鍦ㄧ敤鎴疯绠楁満涓婄殑鍑犱箮浠讳綍搴旂敤杞欢銆

銆銆杩欏苟闈濭oogle Desktop涓鍙戠幇鐨勭涓涓蒋浠躲2鏈堜唤锛學atchfire鐨勫伐绋嬪笀婕旂ず浜嗗浣曞埄鐢ㄨ杞欢鐨勨滃厛杩涙悳绱㈠姛鑳解濊闂敤鎴疯绠楁満鐨勮祫鏂欙紝鐢氳嚦杩愯闈炴巿鏉冭蒋浠躲

銆銆鍦╓atchfire鍙戠幇缂洪櫡浜屽ぉ鍚庯紝缃椾集鐗规紨绀轰簡榛戝鏄浣曞埄鐢╝nti-DNS pinning鏀诲嚮绐冨彇Google Desktop鐢ㄦ埛淇℃伅鐨勩

瀹樻柟寰崥/寰俊

姣忔棩澶存潯銆佷笟鐣岃祫璁佺儹鐐硅祫璁佸叓鍗︾垎鏂欙紝鍏ㄥぉ璺熻釜寰崥鎾姤銆傚悇绉嶇垎鏂欍佸唴骞曘佽姳杈广佽祫璁竴缃戞墦灏姐傜櫨涓囦簰鑱旂綉绮変笣浜掑姩鍙備笌锛孴echWeb瀹樻柟寰崥鏈熷緟鎮ㄧ殑鍏虫敞銆

鈫戞壂鎻忎簩缁寸爜

鎯冲湪鎵嬫満涓婄湅绉戞妧璧勮鍜岀鎶鍏崷鍚楋紵

鎯崇涓鏃堕棿鐪嬬嫭瀹剁垎鏂欏拰娣卞害鎶ラ亾鍚楋紵

璇峰叧娉═echWeb瀹樻柟寰俊鍏紬甯愬彿锛

1.鐢ㄦ墜鏈烘壂宸︿晶浜岀淮鐮侊紱

2.鍦ㄦ坊鍔犳湅鍙嬮噷锛屾悳绱㈠叧娉═echWeb銆

涓烘偍鎺ㄨ崘

鍔犺浇鏇村鏂囩珷

鎵嬫満娓告垙鏇村