Lỗ hổng Google Desktop trước cuộc tấn công mới

Chỉ một ngày sau khi các chuyên gia bảo mật đưa ra lỗ hổng của Google Toolbar trên Firefox, thì một lỗ hổng khác tương tự cũng được tìm thấy trong Google Desktop.

Hôm thứ năm vừa qua, "kẻ tấn công" Google Robert Hansen đã đưa lên bằng chứng chi tiết về việc các kẻ tấn công có thể sử dụng Google Desktop để khởi chạy phần mềm chắc chắn đã bị cài đặt lên máy tính nạn nhân.

Cuộc tấn công khó có thể thực hiện được và không nhất thiết là sử dụng để cài đặt phần mềm không cho phép lên máy tính nạn nhân, nhưng nó lại minh họa cho một nỗi lo về bảo mật được phát sinh bởi các ứng dụng nền tảng Web, Hansen – CEO cố vấn bảo mật web của Sectheory.com và cũng là cộng tác của website Ha.kers.org – nói.

Khi dựa vào các công ty thứ ba để có mã nhằm tác động lên trình duyệt của bạn, nó thực ra đã phá hỏng mô hình bảo mật của chính trình duyệt”, ông nói.

Lỗ hổng Google Desktop trước cuộc tấn công mớiĐể khai thác lỗ hổng Google Desktop của Hansen, kẻ tấn công đầu tiên sẽ khởi chạy một tấn công “man-in-the-middle” thành công, bằng cách này hắn sẽ tự đặt mình vào giữa máy tính nạn nhân và các máy chủ Google. Điều này có thể được thực hiện dễ dàng hơn nữa khi máy bị tấn công truy cập vào một mạng không dây độc hại.

Một khi điều này xảy ra, kẻ tấn công có thể bắt đầu cuộc tấn công bằng cách thay đổi các trang web mà máy tính nạn nhân vào. Bằng cách điều hướng tới trang web giả mạo với đoạn mã JavaScript mới, máy tính nạn nhân có thể bị lừa để kích lên một kết nối nguy hiểm.

Những bước mà Hansen đã thực hiện tấn công rất rắc rối bởi các tính năng bảo mật mà Google đã tích hợp trong phần mềm của họ.

Hôm thứ tư vừa qua, nghiên cứu sinh Christopher Soghoian cũng đã đưa ra một tấn công man-in-the-middle có thể sử dụng để cài đặt phần mềm độc hại lên các máy tính có sử dụng một số công cụ add-on phổ biến của Firefox, trong đó bao gồm cả toolbar của Googe, Yahoo và AOL.

Hansen đã đưa lên hình ảnh của cuộc tấn công này sử dụng để khởi chạy Windows HyperTerminal. Nhưng nó cũng có thể được sử dụng để khởi chạy bất kỳ ứng dụng ảo nào đã thực sự được cài đặt trên máy tính.

Đây không phải là lỗi đầu tiên của Google Desktop. Trong tháng hai vừa qua, các kỹ sư của Watchfire Corp. cũng đã đưa ra một lỗ hổng trong tính năng tìm kiếm nâng cao (Advanced Search Feature) của chương trình này, nó có thể được sử dụng để truy cập tới dữ liệu hay thậm chí chạy phần mềm trái phép trên máy tính nạn nhân.

Hai ngày sau khi lỗ hổng do Watchfire phát hiện được công bố, chính Hansen cũng đã đưa ra cách mà các kẻ tấn công có thể ăn cắp thông tin từ người dùng Google Desktop.

Google vẫn chưa trực tiếp bình luận gì về các lỗi mới đây.

Hồng Ngân

Từ khóa liên quan:
Loading...
TIN CŨ HƠN
Nhật Bản sẽ chế tạo siêu máy tính nhanh nhất thế giới

Nhật Bản sẽ chế tạo siêu máy tính nhanh nhất thế giới

Nhật Bản được cho là đang trở lại nhóm cường quốc về siêu máy tính khi mới đây Bộ Kinh tế, Thương mại và Công nghiệp nước này cho biết sẽ chi 173 triệu đô để chế tạo một siêu máy tính có khả năng thực hiện 130 triệu tỉ phép tính mỗi giây (130 petaflops).

Đăng ngày: 27/11/2016
Năm 2016: Hơn một nửa dân số thế giới vẫn chưa có internet

Năm 2016: Hơn một nửa dân số thế giới vẫn chưa có internet

Theo báo cáo mới nhất năm 2016 được Liên minh viễn thông thế giới (ITU) vừa công bố, có 47,1% dân số thế giới đã được tiếp cận internet, tăng từ mức 43% của năm 2015.

Đăng ngày: 24/11/2016
Trung Quốc chế tạo siêu máy tính nhanh nhất thế giới

Trung Quốc chế tạo siêu máy tính nhanh nhất thế giới

Trung Quốc bắt đầu phát triển hệ thống siêu máy tính có khả năng thực hiện hơn một tỷ tỷ phép tính mỗi giây, nhanh gấp 10 lần máy tính nhanh nhất thế giới hiện nay.

Đăng ngày: 03/11/2016
Những con virus máy tính nguy hiểm nhất thời đại

Những con virus máy tính nguy hiểm nhất thời đại

Đã 20 năm trôi qua kể từ ngày virus máy tính đầu tiên xuất hiện, đã có nhiều virus mới ra đời nhưng điển hình trong số này chỉ có 13 loại virus nguy hiểm nhất và gây ra thiệt hại ở mức cao nhất.

Đăng ngày: 28/10/2016
Quá khứ khổ sở khó tin của những tín đồ công nghệ

Quá khứ khổ sở khó tin của những tín đồ công nghệ

Quá khứ huy hoàng và những nỗi khổ của các tín đồ công nghệ mà thế hệ 10x ngày nay sẽ không thể nào tưởng tượng ra nổi.

Đăng ngày: 17/10/2016
Hướng dẫn sử dụng máy tính để thực hiện nhiệm vụ in và scan

Hướng dẫn sử dụng máy tính để thực hiện nhiệm vụ in và scan

Trong nhiều trường hợp, máy tính và Internet có thể giảm được số lượng lớn giấy tờ mà chúng ta cần phải sử dụng. Tuy nhiên không phải lúc nào cũng vậy, đôi khi sử dụng giấy mực trong một số trường hợp giúp thuận tiện hơn nhiều.

Đăng ngày: 05/10/2016
Ngôn ngữ lập trình mới do MIT tạo ra có thể giúp chương trình chạy nhanh gấp 4 lần

Ngôn ngữ lập trình mới do MIT tạo ra có thể giúp chương trình chạy nhanh gấp 4 lần

Việc này đặc biệt có ích khi một chương trình phải xử lý song song các khối dữ liệu khổng lồ mà không làm tốc độ thực thi chậm hơn.

Đăng ngày: 01/10/2016
Tiêu điểm
Khoa Học News
Trang web của chúng tôi có thể được thực hiện và duy trì bằng cách hiển thị quảng cáo trực tuyến cho khách truy cập của chúng tôi.
Vui lòng xem xét hỗ trợ chúng tôi bằng cách vô hiệu trình chặn quảng cáo của bạn.