Danny Allen, Direktor of Security Research bei Watchfire, erklärt, dass Hacker über Cross-Site Scripting Google Desktop für ihre Zwecke benutzen könnten. Google empfiehlt allen Anwendern, zu überprüfen, ob sie die neueste Version des Programms auf ihrem Rechner haben. „Wir haben schnell einen Bugfix herausgebracht. Alle Anwendungen werden automatisch mit dem Patch aktualisiert,“ teilte Google mit. „Eine weitere Schicht von Sicherheitsüberprüfungen wird Anwender der neuen Version in der Zukunft vor ähnlichen Lücken schützen.“
Der schwache Punkt sei laut Watchfire die Integration von Google Search, der bekannten Internet-Suche, in die Desktop-Anwendung. Dadurch könnten die gefundenen Sicherheitslücken ausgenutzt werden, ohne dass der Vorfall von Schutzprogrammen wie Virenscannern oder Firewalls bemerkt würde, so Allen. Diese Form des Angriffs ist laut Watchfire anders als herkömmliche Attacken: Sie verwende Javascript und injiziere keinen binären Code, um die Kontrolle über Google Desktop zu erlangen. Der Angreifer könne die Anwendung fernsteuern und lokal nach vertraulichen Informationen suchen. Passwörter und Zugangsdaten von Banken, die in Dateien oder im Verlauf des Browsers gespeichert sind, könnten von einem Rechner im Web aus abgerufen werden.
Watchfire habe Google am 4. Januar auf drei Sicherheitslücken und einen Fehler in der Architektur der Software aufmerksam gemacht, sagt Allen. Google habe am 1. Februar geantwortet und um einige Wochen Zeit gebeten, bis Watchfire die Informationen veröffentliche. Sowohl Watchfire als auch Google verlautbarten, dass anscheinend niemand die Schwachstellen ausgenutzt und Rechner mit der Suchmaschine angegriffen habe.
Allen zufolge ist Google Desktop immer noch für Cross-Site-Scripting verwundbar. Das liege an der „schlechten Design-Entscheidung“, einen Link von den Google-Webservern zum PC des Google-Desktop-Anwenders einzubauen. Diesen Link ins Web vergleicht Allen mit einer Schwingtür: Es ist gut, wenn sie nach außen schwingt, weil ich dann hinaus kann. Aber sie sollte niemals zurück schwingen können.
Der Büro- und Gamerstuhl erkennt Gewicht der Nutzer und unterstützt Lendenwirbel und Nacken in jeder…
Der Analyst Ming-Chi Kuo geht von einem Preis zwischen 2000 und 2500 Dollar aus. Trotzdem…
Kaspersky meldet starke Zunahme mobiler Banking-Trojaner. Insgesamt 33,3 Millionen Angriffe auf mobile Nutzer im Jahr…
Optische Schalter mit Flüssigkristallspiegeln sollen die Datenpakete so stark verkleinern, dass mehr Daten durchs Netz…
Jahresbilanz: Laut Bitkom wurden 61 Prozent Opfer von Cybercrime. Durchschnittlich läge der Schaden bei 219…
Künstliche Intelligenz (KI) ist längst nicht mehr nur ein Trend, sondern ein zentraler Bestandteil der…