据IDGNS网站报道称,美国旧金山当地时间本周四,Web安全咨询厂商Sectheory.com的首席执行官罗伯特发布了概念证明代码的详细资料,说明了黑客是如何利用google Desktop启动已经安装在用户计算机上的软件的。
罗伯特说,这种攻击不会被用来在用户的PC上安装非授权软件,但它表明了基于Web的应用软件引发的这类问题。他表示,当允许第三方编写与浏览器交互的代码时,它肯定会破坏浏览器的安全模式。
要利用罗伯特演示的google Desktop缺陷,黑客必须首先发动成功的“中间人”攻击,这可以通过诱骗用户登录到一个恶意的无线网络来实现。一旦完成“中间人”攻击,黑客可以通过修改发布到用户PC上的网页发动“罗伯特的”攻击。通过返回已经被“搀进”新的JavaScript代码的Web网页,用户可能被诱骗点击一个恶意链接。罗伯特说,当用户点击鼠标按键时,他们访问的不是希望的网页,而是运行有其它代码的Google Desktop。
罗伯特演示的攻击步骤非常复杂,因为google已经在其软件中集成了安全功能。他说,我的攻击融合了多种Google试图阻止的攻击。
本周三,安全研究人员克里斯托弗演示了如何利用“中间人”攻击在运行有多种Firefox插件的计算机上安装恶意软件,其中包括由google、雅虎、AOL发布的Firefox插件。
罗伯特发布了一段视频内容,演示如何利用这一攻击启动Windows HyperTerminal。但是,这种攻击能够用来启动已经安装在用户计算机上的几乎任何应用软件。
这并非google Desktop中被发现的第一个软件。2月份,Watchfire的工程师演示了如何利用该软件的“先进搜索功能”访问用户计算机的资料,甚至运行非授权软件。
在Watchfire发现缺陷二天后,罗伯特演示了黑客是如何利用anti-DNS pinning攻击窃取google Desktop用户信息的。
