יום אחד בלבד לאחר שחוקר אבטחה הדגים כיצד ניתן לנצל פגם בסרגל הכלים של גוגל לדפדפני פיירפוקס על מנת לייצר מתקפה על המחשב, התגלתה נקודת תורפה דומה ביישום גוגל דסקטופ (Google Desktop).
מותקנתביום חמישי האחרון, פירסם האקר בשם רוברט האנסן פרטים המוכיחים כיצד תוקפים יכולים לעשות שימוש בגוגל דסקטופ על מנת להפעיל מרחוק כל תוכנה אשר מותקנת על המחשב המותקף.
ההתקפה אינה פשוטה כלל לביצוע, ולא ניתן בהכרח לעשות בה שימוש על מנת להחדיר למחשב תוכנות בלתי מורשות. יחד עם זאת, היא בהחלט מדגימה את סוגיות האבטחה העולות עקב שימוש ביישומים אינטרנטיים. כך טוען האנסן, מנכ"ל חברת יעוץ בענייני אבטחה בשם Sectheory.com וכותב קבוע באתר Ha.ckers.org.
"מודל בו קיים צד שלישי שכותב קוד הפועל במסגרת הדפדפן שלך, באופן אוטומטי שובר את מדיניות האבטחה של הדפדפן", הוא מסביר.
על מנת לעשות שימוש בנקודת התורפה אותה חשף האנסן, על התוקף ליזום תחילה מתקפה המכונה "man-in-the-middle", במסגרתה הוא ממקם את עצמו בדרך כלשהי בין הקורבן למתקפה לבין השרתים של גוגל. את זאת ניתן לעשות על ידי הטעייתו של הקורבן להיכנס לאתר זדוני כלשהו, מסביר האנסן.
ברגע שפעולה זו בוצעה בהצלחה, ההאקר יכול להפעיל את המתקפה בכך שהוא מעביר למחשב המותקף דפי האינטרנט אליהם הוסף קוד JavaScript המטעה את הקורבן וגורם לו ללחוץ על קישור זדוני, מספר האנסן. "כאשר המשתמש לוחץ על הקישור עם העכבר, הוא למעשה לוחץ על קישור לגוגל דסקטופ הגורם להרצת הקוד".
הפעלת המתקפה באופן מוצלח מצריכה סדרה של צעדים מסובכים למדי. זאת, בגלל מנגנוני האבטחה שגוגל שילבה ביישומים שלה. "מה שעשיתי זה לשלב כמה סוגים של התקפות אותן גוגל מנסה באופן נואש למנוע", מסביר האנסן.
האנסן פרסם קטע וידיאו בו הוא מדגים כיצד ניתן לעשות שימוש במתקפה על מנת להפעיל את היישום Windows HyperTerminal. עם זאת, לדבריו, ניתן באופן דומה להפעיל למעשה כל יישום שכבר מותקן על המחשב.
רק יום קודם לכן, הראה חוקר בשם כריסטופר סוגואיאן כיצד ניתן לעשות שימוש במתקפה מסוג "man-in-the-middle" על מנת להחדיר ולהפעיל תוכנות זדוניות על מחשבים העושים שימוש במגוון רחב של תוספים פופולריים לדפדפן הפיירפוקס, כולל סרגלי כלים של גוגל, יאהו ואמריקה אונליין.
יום לאחר שהתגלתה בעיית אבטחה בסרגל הכלים של גוגל: נקודת תורפה חדשה נתגלתה בגוגל דסקטופ
IDG
3.6.2007 / 18:22